网站开启TLS v1.3——Oneinstack、LNMP、宝塔面板

本篇文章再来分享一下网站优化加速方法：开启TLSV1.3和Brotli压缩。相对于TLSV1.2，TLSV1.3主要是减少握手延迟，提高跨协议攻击的难度，使互联网更快，更多安全。Brotli是由谷歌开发的压缩算法，与其他压缩算法相比，它有着更高的压缩效率。一般来说我们的VPS主机已经默认开启了GZIP压缩了，而Brotli与GZIP可以同时共存，当同时开启两种压缩算法时，Brotli 压缩等级优先级高于 Gzip。实际上，最新版的宝塔BT面板、Oneinstack和LNMP都已经默认可以开启TLSV1.3。

一、开启TLSV1.3

1.1 Oneinstack TLSV1.3

PS：2019年1月17日更新，最新版的Oneinstack已经默认开启TLSV1.3了，所以如果你是全新安装的Oneinstack，安装完成后就启用了TLSV1.3了。Oneinstack面板的安装与使用参考：OneinStack一键安装脚本。如果你是全新安装Oneinstack，则可以按照教程先将Oneinstack一键包下载到本地，不要执行安装。而是选择oneinstack目录，编辑version.txt，把openssl_version版本号改到1.1.1以上。然后开始安装即可。如果你已经是Oneinstack的老用户了，方法类似，先升级一下Oneinstack，修改version.txt的openssl_version版本号，执行Oneinstack自带的升级脚本，升级一下Nginx。然后就可以看到openssl已经升级了。最后就是修改你的网站Nginx配置文件了，在ssl_protocols 后面添加TLSv1.3，在ssl_ciphers添加数个加密套件，重启Nginx完成。以下是我的Nginx的TLSv1.3配置，ssl_ciphers 的TLSv1.3部分是新增加的。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;

现在打开Chrome就可以看到www.podipod.com已经成功使用了TLSv1.3。（PS：现在浏览器更新的速度很快，除IE，Chrome和Firefox新版对于TLSv1.3都已经支持了）

1.2 LNMP TLSV1.3

LNMP面板参考：目前LNMP 1.6版本已经默认支持TLSv1.3，如果你用的是LNMP 1.5的话，可以使用升级命令：upgrade1.x-1.6.sh 升级一下管理脚本。然后使用1.6的升级脚本升级一下nginx就可以了。如果你不想让LNMP 1.5升级到LNMP 1.6，则打开 \lnmp1.5\include\version.sh 文件，将 Openssl_Ver='openssl-1.0.2o' 修改为：Openssl_Ver='openssl-1.1.1a'。然后修改 \lnmp1.5\lnmp.conf 文件，将 Nginx_Modules_Options='' 改为：Nginx_Modules_Options='--with-openssl-opt=enable-weak-ssl-ciphers'（注：enable-weak-ssl-ciphers 作用是让 OpenSSL 继续支持 3DES 等不安全 Cipher Suite，如果你打算继续支持 IE8，才需要加上这个选项；若不需要支持 XP IE8 访问可忽略此处修改）。
进入 lnmp1.5 目录，执行命令：

./upgrade.sh nginx

然后输入需要升级的 nginx 版本号，如目前最新的 1.15.7。nginx 最新版本号可从官网获取：http://nginx.org。静待编译完成。执行 nginx -V 可查询详细配置信息：

Checking ...
Program will display Nginx Version......
nginx version: nginx/1.15.7
======== upgrade nginx completed ======
nginx version: nginx/1.15.7
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-28) (GCC) 
built with OpenSSL 1.1.1a  20 Nov 2018
TLS SNI support enabled
configure arguments: --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_gzip_static_module --with-http_sub_module --with-stream --with-stream_ssl_module --with-openssl=/root/lnmp1.5/src/openssl-1.1.1a --with-openssl-opt=enable-weak-ssl-ciphers

修改主机配置文件，加入TLSv1.3配置，如下（和上面的Oneinstack是一样的）。文件修改完，重启一下 nginx，然后就可以去浏览器访问验证一下。

ssl_protocols 加入 TLSv1.3 支持，如：ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
#ssl_ciphers 参考配置：
ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD;

1.3 宝塔BT面板 TLSV1.3

新版的宝塔BT面板，已经支持nginx1.15了，直接在“软件管理”页面切换nginx1.15即可。新版的宝塔BT面板，已经支持nginx1.15了，直接在“软件管理”页面切换nginx1.15即可。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
#ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;

二、服务器SSL优化

SSL优化：
效果演示：https://www.ssllabs.com/ssltest/analyze.html?d=xxx.com
如下图：