nginx

 

 

location / {     proxy_pass http://127.0.0.1:3000;     proxy_set_header Host $host;     proxy_set_header X-Real-IP $remote_addr;     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;     proxy_set_header X-Forwarded-Proto $scheme; }

• proxy_set_header Host $host; → 원래 요청의 호스트 정보를 백엔드에 전달.
• proxy_set_header X-Real-IP $remote_addr; → 클라이언트의 실제 IP 주소 전달.
• proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; → 프록시를 거친 IP 목록 전달.
• proxy_set_header X-Forwarded-Proto $scheme;  → HTTP 또는 HTTPS 여부 전달.

ssl_certificate /etc/nginx/ssl/example.com.crt; ssl_certificate_key /etc/nginx/ssl/example.com.key;

• ssl_certificate → 서버의 SSL 인증서 (공개 키 포함).
• ssl_certificate_key → SSL 개인 키 (Private Key).

ssl_protocols TLSv1.2 TLSv1.3;

• 최신 보안 기준을 따르기 위해 TLSv1.2 및 TLSv1.3만 활성화 (TLS 1.0, 1.1은 취약점으로 인해 비활성화).

ssl_ciphers HIGH:!aNULL:!MD5;

• HIGH → 보안성이 높은 알고리즘 사용.
• !aNULL → 인증이 없는 암호화 방지.
• !MD5 → 취약한 MD5 알고리즘 차단.

ssl_prefer_server_ciphers on;

• 클라이언트가 제안한 암호화 방식보다, 서버가 설정한 암호화를 우선 사용하도록 설정합니다.

ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m;

• sl_session_cache shared:SSL:10m; → 10MB의 캐시 공간을 확보.
• ssl_session_timeout 10m; → 세션이 10분 동안 유효.

ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 5s;

• ssl_stapling on; → OCSP 스테이플링 활성화.
• ssl_stapling_verify on; → 응답 검증 활성화.
• resolver 8.8.8.8 8.8.4.4; → DNS 서버 설정 (Google Public DNS).

location / {         return 301 https://example.com$request_uri;     }

• HTTP로 접속하면 HTTPS로 강제 이동