nginx 的TLSv1.3 chacha20支持

whiledone

本帖最后由 whiledone 于 2020-3-18 09:28 编辑

宝塔不让发，就发在这里吧。
之前学习各位大佬的帖子试着开启TLS1.3 CHACHA20，何乃openssl1.1.1版本中规则已经更新，旧方法已经失效。
先分享全新开启方案：

优点：
*.在没有开AES直通的vps上，网页的握手响应速度比AES快一倍。开了AES直通的vps上，响应速度比AES慢大概10%
*.后端套v2连接，延迟响应略有降低

缺点：
*.需要自行编译
*.不确定是否和酸酸的chacha遭到同样待遇


小白版：
1.停止nginx
2.下载编译好的文件，替换宝塔对应的nginx (1.17版本)即可 （请重命名原有的nginx文件）/www/server/nginx/sbin
3.重启nginx

将网站的ssl配置文件修改如下

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256;
ssl_ciphers_tls13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256;
ssl_prefer_server_ciphers on;
ssl_prefer_chacha20 on;

二进制文件地址：
链接: https://pan.baidu.com/s/1_MjY7gPqHdDy4f-5geLfGQ 提取码: 6ebe

大佬们都说方案一搜一大把，那就直接放文件 想要的拿去用。

hasamol7468

感谢分享

奇怪的技术又增加了.jpg

netsky

为啥要搞chacha20

坏鱼炒年糕

为啥要搞chacha20
搞chacha20的酸酸**被ban的还少了吗

h2o

这种东西网上一搜一大把了吧

babyby168

坏鱼炒年糕 发表于 2020-3-4 13:49

为啥要搞chacha20
搞chacha20的酸酸**被ban的还少了吗
看运气，我一直用RC4  也就封了个端口

七枷社

大佬 宝塔自己编译的话需要添加什么代码呢

定风波

定风波 发表于 2020-3-18 13:34

大佬 宝塔自己编译的话需要添加什么代码呢

./configure \
--user=www --group=www --prefix=/www/server/nginx --with-openssl=../openssl \
--add-module=../nginxtls13/ngx_devel_kit --add-module=../nginxtls13/lua_nginx_module \
--add-module=../nginxtls13/ngx_cache_purge --add-module=../nginxtls13/nginx-sticky-module \
--add-module=../nginxtls13/ngx-pagespeed --with-http_v2_module --with-http_ssl_module \
--with-http_stub_status_module --with-http_ssl_module --with-http_v2_module \
--with-http_image_filter_module --with-http_gzip_static_module \
--with-http_gunzip_module --with-stream --with-stream_ssl_module \
--with-ipv6 --with-http_sub_module --with-http_flv_module \
--with-http_addition_module --with-http_realip_module \
--with-http_mp4_module --with-ld-opt=-Wl,-E \
--with-openssl-opt='enable-tls1_3 enable-weak-ssl-ciphers'

make  

module 对应的软件包， openssl 需要你自己准备

whiledone

whiledone 发表于 2020-3-18 13:49

./configure \
--user=www --group=www --prefix=/www/server/nginx --with-openssl=../openssl \
--add- ...
好的 刚好刚才找到了个对口的教程 我试试编译一个