對稱加密算法
對稱加密性能更好
對稱加密:
客戶端和服務器之間的通信數據是通過對稱加密算法進行加密,對稱加密是在加密和解密的過程中使用同一個私鑰進行加密和解密,而且加密算法是公開的,所以對稱加密中的私鑰非常重要,一旦泄露,加密算法就形同虛設.
非對稱加密算法
非對稱加密:
加密和解密過程使用不同的密鑰,一個公鑰對外公開,一個私鑰,僅在解密端持有,因為公鑰和私鑰是分開的,非對稱加密算法安全級別較高,加密密文長度有限制,適用於對少量數據進行加密,加密速度慢.
PKI公鑰的基礎設施
證書訂閱人[用戶] ---> 登記機構訂閱證書 ---> CA收到訂閱請求,將證書發給登記機構
CA --> 證書登記機構 --> 證書訂閱者[用戶] --> 用戶將證書公鑰私鑰部署在web服務器上 --> 用戶訪問web站點 --> web站點將拿着證書和CA的OSCP服務器主動進行對比驗證是否通過.
證書的類型:
DV證書: 域名驗證
OV證書: 組織驗證
EV證書: 擴展驗證 [如:證書顯示 騰訊公司]
證書對nginx的性能影響
證書是有握手時間的,無論是對稱加密算法還是非對稱加密算法都會有性能瓶頸
小文件較多會考驗到 非對稱加密的性能 如 SA
大文件較多會考驗到 對稱加密算法的性能 如 AES
小文件比較多我們應該關注 優化橢圓曲線算法: 如證書加密的密碼強度是否可以降低
大文件比較多我們應該關注 AES算法是否可以替換為其他算法,或者將密碼強度降低一些.
證書部署時的優化
#證書的密鑰
ssl_certificate /application/nginx/ssl_nginx/1_www.chenleilei.net_bundle.crt;
ssl_certificate_key /application/nginx/ssl_nginx/2_www.chenleilei.net.key;
#會話保持時間
ssl_session_timeout 1440m;
#這是對會話進行緩存,每次新用戶訪問需要重新建立會話,消耗CPU,添加緩存后可以減少CPU消耗
ssl_session_cache shared:SSL:10m;
#TLS的級別
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
#TLS證書所使用的算法,注意: 這里的算法,排在前面會被優先使用.
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE";
#優先使用我們服務端的加密套件
ssl_prefer_server_ciphers on;
