如何优化你的 HTTPS

相较于之前的版本TLS优化内容有：

• 相比过去的的版本，引入了新的密钥协商机制 — PSK
• 支持 0-RTT 数据传输，在建立连接时节省了往返时间
• 废弃了 3DES、RC4、AES-CBC 等加密组件，废弃了 SHA1、MD5 等哈希算法
• ServerHello 之后的所有握手消息采取了加密操作，可见明文大大减少
• 不再允许对加密报文进行压缩、不再允许双方发起重协商
• DSA 证书不再允许在 TLS 1.3 中使用

在https中，每个连接的TLS的握手是很消耗资源及时间的，所以TLS 1.3的优化，比之前的版本建立连接的时间少了一个RTT，同等情况下，节省了很多时间，提高了响应速度。

TLS 1.3需要openssl 1.1.1支持，在nginx上，需要nginx 1.13+支持。

在编译nginx的时候，需要添加编译参数--with-openssl-opt=enable-tls1_3来开启TLS 1.3支持，并在配置中ssl_protocols中添加TLSv1.3，对应的TLS1.3引入了新的算法，所以ssl_ciphers也需要添加新算法

默认情况下nginx因为安全原因，没有开启TLS 1.3的 0-RTT，可以通过指令ssl_early_data on来开启。

ECC

ECC(Elliptic curve cryptography，椭圆曲线密码学)，一种建立公开密钥的算法，基于椭圆曲线数学。

内置ECDSA公钥的证书一般称为ECC证书，内置RSA公钥的证书一般称为RSA证书。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!