doudonn WEB制作やサーバーの話とかいろいろ

NginxのSSL設定(処理速度優先)

  doudonn 更新日:
NginxのSSL設定(処理速度優先)

NginxのSSL設定はどれが速いのか?

結局どれが良いのか?と迷う人は多いだろう。
自分も絶対これという自信は無いですが、多分最適な設定を紹介する。

※Nginxバージョン:1.22.1
※certbotバージョン:1.21.0

※「Let’s Encrypt」の「certbot」でデフォルト設定で証明書を発行した場合の設定です

1、nginx.conf

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl_ciphers ECDHE+AESGCM:DHE+aRSA+AESGCM:ECDHE+AESCCM:DHE+aRSA+AESCCM:+AES256:ECDHE+CHACHA20:DHE+aRSA+CHACHA20:+DHE:ECDHE+AES128:ECDHE+CAMELLIA128:ECDHE+AES:ECDHE+CAMELLIA:+ECDHE+SHA:DHE+aRSA+AES128:DHE+aRSA+CAMELLIA128:DHE+aRSA+AES:DHE+aRSA+CAMELLIA:+DHE+aRSA+SHA;
ssl_conf_command Ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256;

まず「nginx.conf」に全てのドメインに適用する共通設定を書きます。

certbotバージョン1.21.0だと、
暗号方式はデフォルトで「ecdsa」の「secp256r1」です。
この場合の設定なので注意ください。

2、doudonn.com.conf

server {
listen 443 ssl http2;
server_name doudonn.com www.doudonn.com;

ssl_certificate /etc/letsencrypt/live/doudonn.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/doudonn.com/privkey.pem;

#以後省略

各ドメインの設定ファイルは、
「ssl_certificate」と「ssl_certificate_key」だけ記載します。
ドメインごとに指定ファイルが違うためです。

3、なぜこのSSL設定なのか?解説


#キャッシュでの高速化は公式マニュアルでも推奨
#このためにメモリを10MB使用するようにします
ssl_session_cache shared:SSL:10m;

#サイトの滞在時間を考えて指定する。この場合は5分
ssl_session_timeout 5m;

#クライアント側の暗号よりもサーバー側の暗号を優先する。セキュリティ対策。
ssl_prefer_server_ciphers on;

#プロコトルを最新のものだけ指定。現時点の推奨設定。
ssl_protocols TLSv1.2 TLSv1.3;

#鍵交換に使うファイルを指定(作成要)
ssl_dhparam /etc/nginx/ssl/dhparam.pem;

#下記2項目は使用する暗号方式の指定。TLSv1.3での推奨セキュリティ型です。
ssl_ciphers ECDHE+AESGCM:DHE+aRSA+AESGCM:ECDHE+AESCCM:DHE+aRSA+AESCCM:+AES256:ECDHE+CHACHA20:DHE+aRSA+CHACHA20:+DHE:ECDHE+AES128:ECDHE+CAMELLIA128:ECDHE+AES:ECDHE+CAMELLIA:+ECDHE+SHA:DHE+aRSA+AES128:DHE+aRSA+CAMELLIA128:DHE+aRSA+AES:DHE+aRSA+CAMELLIA:+DHE+aRSA+SHA;
ssl_conf_command Ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256;

「ssl_dhparam」の作成はこちらの記事を見てください。
Ubuntu 22.04.1 LTS&NginxのロードバランサにLet’s EncryptのSSL証明書を取得し自動更新&同期する方法

それぞれの詳細は公式マニュアルを確認ください。

4、このSSL設定での証明書情報

このSSL設定での証明書情報 Protocol TLS 1.3 Key exchange X25519 Server signature RSA-PSS with SHA-256 Cipher AES_256_GCM

chromeならデベロッパーツールで確認できます。

基本は「TLS 1.3」。
そして、処理が軽い「X25519」と「AES_128_GCM」を指定。
「Let’s Encrypt」と「certbot」で取得するならこれが最適だと思います。

セキュリティを高めたい場合は「p-384」と「AES_256_GCM」を指定します。
certbotで「secp384r1」を指定して取得し、
「ssl_ciphers」と「ssl_conf_command」は下記を指定します。

ssl_ciphers ECDHE+AESGCM:DHE+aRSA+AESGCM:ECDHE+AESCCM:DHE+aRSA+AESCCM:ECDHE+CHACHA20:DHE+aRSA+CHACHA20:+AES128:+DHE;
ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256;

※参考サイト:https://kuni92.net/2022/02/nginx-chipers.html

4、NginxのSSL設定まとめ

暗号強度はワンランク下げて処理速度優先にすることをおすすめ。

ググって解説サイトを見ると、
ほぼ「高セキュリティ型(p-384とAES_256_GCM)」でのSSL設定解説になっています。
これにすると処理速度が落ちるため、同時アクセスを求める人などにはおすすめできない。
実際、Googleなど大きなサイトは処理速度優先(AES_128_GCM)の設定です。

それでも現時点はセキュリティ的に全く問題無く、
セキュリティを高くするのは将来に備えてという感じです。
個人サイトでそこまでやる必要は無いと考えます。

Nginxを速くしたい!な人は是非当記事の設定を使ってみてください。

次:エックスサーバーはSSHなら回線速度制限無し!という話(FTPは遅い)
前:自分がやっているVPSでの同時アクセス対策方法7つの話

<VPS>
さくらのVPS
ConoHa VPS
KAGOYA CLOUD VPS
Xserver VPS
シン・VPS

<管理人からの各種招待>
エックスサーバーお友達紹介
エックスサーバーVPSお友達紹介
ConoHa友達紹介

Nginxの関連記事
サーバー NginxでのSSL処理能力を比較してみた(CPU2コア・3コア ロードバランサ) 投稿日:2023/02/11
サーバー Nginxのmulti_acceptの意味とon・offでのApache Benchの結果(同時アクセス比較) 投稿日:2023/02/03
サーバー Ubuntu 22.04.1 LTSに最新版Nginxをインストールする方法 投稿日:2023/01/31
サーバー Ubuntu 22.04.1 LTS&NginxのロードバランサにLet’s EncryptのSSL証明書を取得し自動更新&同期する方法 投稿日:2023/01/30
サーバー NginxのKeepAlive設定と考え方まとめ(Timeout・upstream等 ) 投稿日:2023/01/29
サーバー Nginxはgzip staticで高速化!設定方法・圧縮方法を解説 投稿日:2023/01/28
サーバー さくらVPS&Nginxで画像だけをCDNから配信する方法を解説!#さくらのウェブアクセラレータ 投稿日:2023/01/25
サーバー 【Ubuntu】Nginxの「nginx -s reload」をVISUDOでパスワード無しにする方法&一括変更Tera Termのマクロの紹介 投稿日:2023/01/23
サーバー (2023年対応済)2019年版:Logwatch(ログウォッチ)をNginxに対応させる方法。エラーログ独自対応。 投稿日:2023/01/17
サーバー Nginxのエラーログ「client request body is buffered to a temporary file」対策・設定方法まとめ(ワードプレス) 投稿日:2023/01/17
サーバー Nginxの「proxy_buffer_size」のエラーログ対策・設定方法まとめ(upstream response is buffered to a temporary file) 投稿日:2023/01/17
サーバー Nginxのエラーログ「no live upstreams while connecting to upstream」の原因と対策(ロードバランサ) 投稿日:2023/01/17
サーバー 2023年1月更新!迷惑なbotをアクセス拒否・除外する設定方法まとめ(Nginx・Apache・.htaccess) 投稿日:2023/01/07
サーバーの関連記事
サーバー さくらVPSとConoHaの比較・選び方の話(CPU性能など) 投稿日:2023/12/03
サーバー エックスサーバーで同時アクセス数過多でサーバーダウンした話 投稿日:2023/11/27
サーバー Nginxのアクセスログは目的意識を持って取ろう!という話 投稿日:2023/03/03
サーバー 簡単かつ強力!WEBサイトをハッキングから守る方法3つ 投稿日:2023/03/01
サーバー phpMyAdminをローカルネットワーク内のサーバーからDBサーバーへ接続する方法 投稿日:2023/02/22
サーバー 【Ubuntu 22.04.1】さくらVPSでインターネットを無効(切断)する方法 投稿日:2023/02/22
サーバー アンテナサイトのサーバーをさくらVPSにしたので構成を紹介 投稿日:2023/02/20
サーバー Googleのサーチコンソールのドメイン所有権確認でTXTレコードが反映しない時はCNAMEが原因 投稿日:2023/02/14
サーバー 負荷も容量も大きいufwのログは無効にしようという話 投稿日:2023/02/13
サーバー 【随時更新】国内VPSに使われているCPU一覧・比較表 投稿日:2023/02/12
サーバー マインクラフトサーバーなら「Xserver for Game」が最強という話 投稿日:2023/02/10
サーバー 【2023年12月更新】VPSのCPU性能を比較(さくらVPS・ConoHa・KAGOYA・エックスサーバーVPS) 投稿日:2023/02/10
サーバー レンタルサーバーでの冗長化方法の話 投稿日:2023/02/09
サーバー エックスサーバーはSSHなら回線速度制限無し!という話(FTPは遅い) 投稿日:2023/02/09
サーバー 自分がやっているVPSでの同時アクセス対策方法7つの話 投稿日:2023/02/06
サーバー 【初心者向け】エックスサーバーVPSでのマインクラフトサーバーの作成方法を解説 投稿日:2023/02/06
サーバー さくらVPS好きが語るエックスサーバーVPSのメリット・デメリットの話 投稿日:2023/02/06
サーバー 高いレンタルサーバーは何が良いのか?安いレンサバとの違いと選び方の話 投稿日:2023/02/06
サーバー VPSでワードプレスをやって良かった!という話 投稿日:2023/02/04
サーバー さくらVPSでのおすすめのバックアップ方法についての話 投稿日:2023/02/04
サーバー さくらVPSの石狩と東京リージョンのCPU性能差を比較してみた(解凍ベンチ) 投稿日:2023/02/03
サーバー レンタルサーバーの比較記事のおかしい点と見るべき点の話 投稿日:2023/02/02
サーバー ガチで20年以上やっているのでレンタルサーバーの選び方を語りたい 投稿日:2023/02/02
サーバー さくらVPSの追加ストレージ(NFS)を使って盛大にやらかした話 投稿日:2023/02/02
サーバー Ubuntu 22.04.1 LTSにPHP-FPMをインストール、php.ini、www.confの設定方法 投稿日:2023/01/31
サーバー 【宣伝に騙されない】ガチな人向けのVPSの選び方を語る 投稿日:2023/01/29
サーバー VPSでワードプレスを複数サーバーで同期して負荷分散する方法・構成の考え方 投稿日:2023/01/27
サーバー 【コピペ用】Ubuntu 22.04.1 LTSでのファイアーウォール設定コマンド一覧 投稿日:2023/01/27
サーバー 【Ubuntu 22.04.1 LTS】さくらVPSでローカルIPアドレスを設定する方法 投稿日:2023/01/27
サーバー ワードプレスをVPSで利用するメリットの話 投稿日:2023/01/26
サーバー さくらVPSでワードプレスをやる場合のプランの選び方の話 投稿日:2023/01/26
サーバー 同時アクセスのボトルネック「ネットワーク(回線)」対策の話(VPS・レンサバ) 投稿日:2023/01/25
サーバー Ubuntu 22.04.1 LTSのPHP8.2でPHPファイルをcronで実行する方法 投稿日:2023/01/25
サーバー さくらVPSの良いところを熱く語りたい(自分が使っている理由) 投稿日:2023/01/20
サーバー さくらのクラウドのエンハンスドロードバランサとGSLBの違いと選び方の話 #さくらVPS 投稿日:2023/01/20
サーバー さくらVPSでGSLB(広域負荷分散)を使う方法を解説(CNAME設定など) 投稿日:2023/01/20
サーバー さくらVPS・クラウドで揃えた当ブログのサーバー構成を紹介!(リージョン間冗長・負荷分散) 投稿日:2023/01/19
サーバー 秘密鍵をローカルに!Tera TermでSSH転送(ポートフォワーディング)を使った踏み台サーバー先へのSSHログイン方法(マクロ・鍵認証) 投稿日:2023/01/19
サーバー 2023年最新!さくらVPSのインストール方法を解説!(Ubuntu 22.04・鍵認証・ログインマクロ) 投稿日:2023/01/18
サーバー バリュードメインでのCNAME設定方法を解説(CDN、ロードバランサを使う時などのDNS) 投稿日:2023/01/18
サーバー さくらVPSのワードプレスの画像等のバックアップ先をエックスサーバーにする方法(rsyncでの同期) 投稿日:2023/01/18
サーバー エックスサーバーに自動でSSH接続する方法(Tera Termのマクロ) 投稿日:2023/01/17
サーバー Tera Termでrootでログインするマクロ作成方法(CentOS7) 投稿日:2023/01/17
サーバー エックスサーバーは新サーバーに移行する前に共有ユーザー数の確認を 投稿日:2023/01/03

記事一覧はこちら:サーバー

Key: Nginx SSL 設定  Nginx SSL 高速 
管理人について
doudonn
名前:doudonn(どうどん)
ひたすらWEB制作な人。
一応社長です。音ゲー好き

プロフィール
ランダム
サーバー NginxでのSSL処理能力を比較してみた(CPU2コア・3コア ロードバランサ)
スーツケース プロテカのスタリアCXRとスタリアCXの違いの話
サーバー さくらVPSでGSLB(広域負荷分散)を使う方法を解説(CNAME設定など)
サーバー 2023年最新!さくらVPSのインストール方法を解説!(Ubuntu 22.04・鍵認証・ログインマクロ)
サーバー バリュードメインでのCNAME設定方法を解説(CDN、ロードバランサを使う時などのDNS)
お知らせ

2022年11月30日に全記事削除しました。
無駄にページ表示速度にこだわってます。

役立ちサイト
wiki
その他
VPS LINK
管理人からの各種紹介

プライバシーポリシー・広告について


© 2022-2024 doudonn All Rights Reserved.