Giới Thiệu

Transport Layer Security (TLS) là nền tảng của bất kỳ dịch vụ web hiện đại nào. Là một kỹ sư hệ thống (SRE), bạn biết rằng một lớp TLS được cấu hình sai có thể làm lộ dữ liệu nhạy cảm, giảm hiệu suất và thậm chí phá vỡ các kiểm toán tuân thủ. Hướng dẫn này sẽ chỉ cho bạn bảy cạm bẫy phổ biến nhất khi tăng cường bảo mật cho Nginx với TLS trong môi trường sản xuất, và cách khắc phục chúng với các đoạn cấu hình cụ thể.

1. Sử Dụng Bộ Mã Hóa Mặc Định

Nginx đi kèm với một bộ mã hóa chung mà ưu tiên tính tương thích hơn là bảo mật. Điều này thường khiến bạn dễ bị tấn công như Logjam hoặc BEAST.

Giải pháp:

• Ưu tiên các mã hóa hiện đại, AEAD (AES-GCM, ChaCha20-Poly1305).
• Vô hiệu hóa các thuật toán yếu như RC4, DES, 3DES, và MD5.

# /etc/nginx/conf.d/ssl.conf
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers \
    'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256' \
    'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384' \
    'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305' \
    'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
ssl_prefer_server_ciphers on;

2. Quên Kích Hoạt HTTP/2 và ALPN

HTTP/2 mang lại khả năng đa luồng, nén tiêu đề, và đẩy máy chủ – tất cả chỉ có sẵn qua TLS với sự thương lượng ALPN. Nếu không có nó, các khách hàng sẽ quay lại HTTP/1.1, làm tăng độ trễ.

Giải pháp: Kích hoạt HTTP/2 trong chỉ thị listen và đảm bảo ssl_alpn là bật.

server {
    listen 443 ssl http2;
    ssl_certificate     /etc/ssl/certs/example.com.crt;
    ssl_certificate_key /etc/ssl/private/example.com.key;
    # ALPN được xử lý tự động bởi các phiên bản Nginx hiện đại
}

3. Bỏ Qua OCSP Stapling

OCSP stapling giảm thời gian đi lại đến Chứng chỉ Quản lý (CA) trong quá trình bắt tay TLS, làm tăng tốc độ kết nối và ngăn chặn các kiểm tra trạng thái rò rỉ quyền riêng tư.

Kích hoạt nó:

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

4. Không Bắt Buộc HSTS (HTTP Strict Transport Security)

Nếu không có HSTS, trình duyệt có thể vẫn cố gắng kết nối không an toàn HTTP sau lần truy cập đầu tiên của người dùng, mở ra cửa sổ cho các cuộc tấn công hạ cấp.

Thêm tiêu đề:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Mẹo: Nộp miền của bạn vào danh sách tiền tải HSTS nếu bạn kiểm soát tất cả các miền con.

5. Sử Dụng Chứng Chỉ Tự Ký Trong Sản Xuất

Chứng chỉ tự ký làm phá vỡ mô hình tin cậy, kích hoạt cảnh báo trình duyệt, và có thể khiến các khách hàng API từ chối dịch vụ của bạn. Luôn lấy chứng chỉ từ CA uy tín (Let’s Encrypt, ZeroSSL, hoặc nhà cung cấp thương mại).

Tự động hóa: Sử dụng Certbot hoặc acme.sh để tự động gia hạn.

# Ví dụ với Certbot cho Nginx
sudo certbot --nginx -d example.com -d www.example.com --agree-tos --redirect

6. Bỏ Qua Bảo Mật Tiến Bộ (Perfect Forward Secrecy - PFS)

PFS đảm bảo rằng một khóa riêng bị xâm phạm không thể giải mã các phiên trước đó. Các mã hóa hiện đại đã cung cấp điều này, nhưng bạn phải tránh phương thức trao đổi khóa RSA tĩnh.

Kiểm tra danh sách mã hóa của bạn: Đoạn mã trong phần 1 đã loại trừ các bộ chỉ có ECDHE-RSA; giữ ít nhất một bộ ECDHE.

7. Tham Số Diffie-Hellman Yếu

Nếu bạn quay lại DHE, bạn cần một nhóm DH mạnh (>= 2048-bit). Việc tạo ra một nhóm 1024-bit là không an toàn và có thể bị bẻ khóa.

Tạo một nhóm an toàn:

openssl dhparam -out /etc/nginx/dhparam.pem 4096

Sau đó tham chiếu nó trong Nginx:

ssl_dhparam /etc/nginx/dhparam.pem;

Tóm Tắt

Dưới đây là một khối TLS tối thiểu nhưng sẵn sàng cho sản xuất mà bạn có thể thêm vào cấu hình máy chủ của mình:

server {
    listen 443 ssl http2;
    server_name example.com www.example.com;

    ssl_certificate     /etc/ssl/certs/example.com.crt;
    ssl_certificate_key /etc/ssl/private/example.com.key;
    ssl_trusted_certificate /etc/ssl/certs/ca-bundle.crt;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;
    ssl_dhparam /etc/nginx/dhparam.pem;

    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 1.1.1.1 1.0.0.1 valid=300s;
    resolver_timeout 5s;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options DENY;
    add_header X-XSS-Protection "1; mode=block";

    # Các khối location thông thường của bạn ở đây
}

Giám Sát và Xác Thực

Sau khi triển khai, xác minh vị trí TLS của bạn bằng các công cụ như Qualys SSL Labs, testssl.sh, hoặc openssl s_client. Tự động hóa các kiểm tra này trong quy trình CI/CD của bạn để phát hiện sớm các sai lệch.

openssl s_client -connect example.com:443 -servername example.com -tls1_3

Kết Luận

Tăng cường bảo mật TLS cho Nginx không phải là một danh sách kiểm tra một lần; đó là một quá trình liên tục kết hợp vệ sinh mật mã với tối ưu hóa hiệu suất. Bằng cách tránh bảy lỗi đã nêu trên, bạn sẽ cung cấp trải nghiệm nhanh hơn và an toàn hơn cho người dùng trong khi vẫn tuân thủ các tiêu chuẩn bảo mật hiện đại. Để tìm hiểu sâu hơn về việc tăng cường máy chủ và quản lý chứng chỉ tự động, hãy xem các tài nguyên như lacidaweb.com để có hướng dẫn thực tế và hỗ trợ cộng đồng.