如何让自己网站https更安全

作者: boris 分类: 夸夸奇谈 发布时间: 2017-08-29 11:27

之前写过一篇文章,是我的博客启用了https,但是没有详细的说明是如何配置的,通过https://www.ssllabs.com/ssltest/扫描结果如下图,评分为A:

今天详细记录下我的配置代码:
server
{
listen 443 ssl;
server_name www.morong.me ;
ssl on;
ssl_certificate /usr/local/nginx/conf/sslkey/www.morong.me.crt;
ssl_certificate_key /usr/local/nginx/conf/sslkey/www.morong.me.key;
ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL::!3DES!MD5:!ADH:!RC4:!DH:!DHE;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets on;
index index.php index.html ;

}

总结下SSLLabs扫描评分要求:

  • 证书由受信任的CA颁发,密钥采用RSA、ECC、DSA都可,最好超过2048位,并且要保护好私钥,避免外泄
  • 选择目前主流安全性比较高的签名算法,目前是sha256比较常用
  • 使用安全协议,比如TLS1.2 禁止使用不安全的协议,比如SSLV2 SSLV3。
  • 使用安全密码套件
  • 支持前向加密
  • 没有安全漏洞,主要是openssl的漏洞,此处不再赘述
  • 使用完整的证书链
  • 使用HTTP/2
  • 使用OCSP-Stapling技术
  • 禁止TLS压缩
  • 不缓存敏感信息
  • 采用HSTS

 

 

一条评论
  • 小妮子

    2017年8月29日 下午1:57

    谢谢作者的分享,先在我的网站评分也是A了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注