Nginx SSL安全性增强,HTTPS网站轻松快速获得A+评级

张子凡 系统相关 2017-11-13 14:27:09 阅读(...) 评论(7)

从 HTTP 到 HTTPS 只需要一个 SSL 证书,而在安装 SSL 证书后,如何在 Qualys SSL Labs 网站获得更高的安全评级呢?该如何增强 SSL 安全性呢?

a plus

子凡下面就通过对 Nginx 服务器设置的 SSL 安全机制与大家做个简单的分享,还记得之前子凡分享过 HSTS 安全协议配置,可以简单从 HTTP 到 HTTPS 的安全高效转移,而今天给大家说的有共同之处,也更为全面。

ssllabs ssltest

通过禁用 SSL 压缩来降低 CRIME 攻击威胁;禁用协议上存在安全缺陷的 SSLv3 及更低版本,并设置更健壮的加密套件 cipher suite 来尽可能启用前向安全性 Forward Secrecy;此外还启用了 HSTS 和 HPKP。这样我们就拥有了一个健壮而可经受考验的 SSL 配置,并可以在 Qually Labs 的 SSL 测试中得到 A 级及以上评分。

1
2
3
4
5
6
7
8
9
10
#Nginx SSL安全性增强
ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1; # Requires nginx >= 1.1.0
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off; # Requires nginx >= 1.5.9
ssl_stapling on; # Requires nginx >= 1.3.7
ssl_stapling_verify on; # Requires nginx => 1.3.7
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

以上便是子凡目前在用的一个简单配置,通过在原有的服务器配置文件中添加以上信息就瞬间从之前的 A-评价获得了 A+,实现了 Nginx 服务器的 SSL 安全性增强配置。

同样我们还可以通过 https://cipherli.st 找到 Apache 和 Lighttpd 的安全设置,同样也有 Nginx 的安全设置,只是可能与以上子凡提供的有所区别,将其复制粘帖到服务器相关的配置文件中保存即可。

最后配置好后,我们便可通过 https://www.ssllabs.com/ssltest 进行评级测试。

除非注明,否则均为泪雪博客原创文章,转载请以链接形式标明本文地址

本文链接:https://zhangzifan.com/strong-ciphers-for-nginx.html

发表评论

  1. 明月登楼
    1楼
    明月登楼 8个月前 (11-27)

    启用了HTTPS后,在使用 CDN 的时候也要慎重的,特别是 CDN 对HTTPS的支持情况要了解清楚!比如很多 CDN 的免费HTTPS都不支持HTTP/2的!

    • 张子凡
      回复
      张子凡 8个月前 (11-27)
      回复 @明月登楼 :我好像很久没用CDN了,特别是网站改动的时候特麻烦
      • 明月登楼
        回复
        明月登楼 8个月前 (11-27)
        回复 @张子凡 :呵呵,爱折腾的话,可以只让 CDN 缓存图片文件就可以了!
  2. 龙笑天
    2楼
    龙笑天 8个月前 (11-26)

    mark一下先~

  3. 新闻头条
    3楼
    新闻头条 8个月前 (11-15)

    文章不错非常喜欢

  4. 韩剧网
    4楼
    韩剧网 8个月前 (11-13)

    https和http有区别?