HTTPS

启用 SPDY

| Security | #SPDY | #nginx | #HTTPS | #performance

之前 Frank 同学提到了这个问题,所以今天花了些时间来配置。 nginx 对 SPDY 的支持是一项比较新的特性,只有在 1.3.x 版本以上才支持。FreeBSDnginx-devel 默认并不启用 SPDY,需要在 make config 的阶段启用。

阅读全文…( 本文约 131 字,阅读大致需要 1 分钟 )

nginx的https压缩

| Security | #nginx | #HTTPS | #compression | #SSL | #performance

官方版本的 nginx 在 https 的时候是不对流量做压缩的,具体原因在这里这里 有解释,它会增加半兆的连接内存开销。

启用 https 压缩除了需要 nginx 本身做少量修改(例如去掉 if[n]def SSL_OP_NO_COMPRESSION 部分的语句块)之外,还需要 OpenSSL 本身编译了加密支持。FreeBSD ports 的 security/openssl 预设启用了 ZLIB 扩展,但基本系统目前没有(由于 zlib 是很大的一片代码,也许需要做了 Capsicum 处理之后才可以放进来用)。

阅读全文…( 本文约 286 字,阅读大致需要 1 分钟 )

为什么输入敏感数据(如登录信息)的页面也要做成 https?

| Security | #HTTPS | #security | #web security | #privacy | #SSL

有一种错误的观念是,对于不太敏感的内容(例如论坛之类),只要用 https 保护登录过程中提交密码的部分就足够了。例如国内非常流行的网易邮箱,很早以前便提供了"SSL安全登录"的选项,这样做显然是比完全不提供SSL登录选项的新浪邮箱要强多了[注1],但是仍然是不够的。

阅读全文…( 本文约 467 字,阅读大致需要 1 分钟 )

nginx中的TLS/SSL配置

| Security | #nginx | #TLS | #SSL | #SNI | #HTTPS | #sysadmin

nginx可以作为很多种不同的用途。对Web服务器来说,nginx可以直接用作https服务器,也可以用于为现有的http Web服务器作为前端代理和负载平衡的同时提供https之用。

阅读全文…( 本文约 1201 字,阅读大致需要 3 分钟 )