• http://nginx.org/en/docs/http/configuring_https_servers.html

SSL을 사용하기 위해서는 listen 디렉티브에 ssl 을 추가해야함

server {
    listen              443 ssl;
    server_name         my.example.com;
  
    ssl_certificate     /home/my/apps/cert/my.example.com.crt;
    ssl_certificate_key /home/my/apps/cert/my.example.com.key;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    ...
}

ssl_protocols 와 ssl_ciphers 에 보안에 강한 버전과 cipher 를 사용하도록 제한할수 있음

• http://wiki.mozilla.org/Security/Server_Side_TLS

SSL 커넥션 최적화

• https://bjornjohansen.no/optimizing-https-nginx
• keepalive 를 사용하길 권장하고 초기 커넥션 셋업과정의 오버헤드를 줄이기 위해, 커넥션 파라미터 캐싱을 사용(ssl_session_cache) 하면 좋음

인증서 체인

• 일부 브라우저에서는 신뢰하지 않은 기관의 인증서 이슈가 있을 수 있으므로, 인증서 체인을 추가해줌
  • http://nginx.org/en/docs/http/configuring_https_servers.html#chains
• 인증서 체인 확인은 openssl 명령어를 통해 확인 가능
  • SNI 설정이 필요할 수 있음 (-servername)

이름기반 서버 (VirtualHost - SNI)

• 한 IP 에서 여러 HTTPS 서버를 서로 다른 vhost 로 운영할 경우 SNI를 사용해야함 (RFC 6066)
• 왜냐하면 전송계층의 TLS/SSL 핸드쉐이크가 먼저 일어나기 때문에 어플리케이션 계층의 HTTP의 Host 헤더를 알수 없음
  • https://en.wikipedia.org/wiki/Server_Name_Indication
  • https://tools.ietf.org/html/rfc3546#section-3.1
• nginx를 빌드할때 --enable-tlsext 옵션으로 빌드해야함
  • nginx -V 옵션으로 확인하였을때 TLS SNI support enabled 라고 나오면 사용가능