网站空间域名

Nginx环境下的SSL证书(https)安全设置



使用最新版本的openssl

禁用 SSLv2 和 SSLv3
这两个协议都是不安全的, 我们应该在服务器上禁用这两个协议。添加一下代码到网站的配置文件, lnmp的网站配置文件位于 /usr/local/nginx/conf/vhost 目录

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

使用安全的Cipher Suite
将以下代码放在网站的配置文件里面

ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

以上设置不支持Winxp/IE6 ,如果你想网站同时Winxp/IE6的话可以使用使用以下的Cipher Suite

ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

额外的安全设置,请添加如下代码

ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
 
Forward Secrecy & Diffie Hellman Ephemeral Parameters
运行以下代码,这段代码运行的时间会比较长,请耐心等待
cd /etc/ssl/certs
openssl dhparam -out dhparam.pem 4096
然后在nginx的网站配置文件中加入如下代码
ssl_dhparam /etc/ssl/certs/dhparam.pem;

添加以上代码后的网址配置文件大致如下

server
    {
        listen 443 ssl spdy;
        server_name www.topssl.net topssl.net;
        index index.html index.htm index.php default.html default.htm default.php;
        root  /home/wwwroot/www.topssl.net;
 
        ssl on;
        ssl_certificate topssl.crt;
        ssl_certificate_key topssl.key;
 
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 
        ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
 
        ssl_prefer_server_ciphers on;
        ssl_session_cache shared:SSL:10m;
 
        ssl_dhparam /etc/ssl/certs/dhparam.pem;
 
......
 
}
以上的加粗代码就是我们添加上的代码。
完成以上的设置后,我们就可以到 https://www.ssllabs.com/ssltest/ 输入你的域名测试一下,看看是不是能够拿到一个 A . :)


相关网站空间域名

avatar

网站使用CloudFlare后国内访问慢、打不开 禁用缓存即可

CloudFlare确实是很好用的一个免费CDN,可以隐藏IP,自动添加HTTPS,缓存网站(默认只缓存JS、图片等,不会缓存HTML和PHP)。华科有一个站,数据3万多条,打开首页和其他页都实在是慢,先把服务器提供商折腾一顿,不凑效,而后...

avatar

阿里云服务器使用宝塔面板CPU使用率100%负载状态100%解决方法

华科国际的部分网站使用的阿里云突发性能型t5服务器,使用的宝塔面板。仅仅只安装了4个网站,其实安装一个的时候也一直是负载状态100%,CPU使用率100%!这卡的实在是让人头晕。具体表现截图:和阿里云交涉后给出的方案是升级服务器。我们看下目...

avatar

网站接入Cloudflare实现HTTPS和拥有SSL证书视频教程

设置 Cloudflare 很容易对不起,您的浏览器不支持嵌入式视频,但不用担心,您可以下载它并用最喜欢的视频播放器观看!在不到 5 分钟的时间内建立一个域名。保持您的托管服务提供商。无需更改代码。

avatar

企业网站改版需要了解的知识

网站改版是每个网站都会经历的过程,因为没有网站都没有办法做到始终不变,网站一定要满足用户的需求的,但是我们的用户并不固定,在用户的需求上也会不断的进行变化,所以网站需要根据这些变化而做出相应的调整。企业网站改版需要了解的知识通常情况下,按照...

avatar

自适应网页设计原理

随着3G的普及,越来越多的人使用手机上网。移动设备正超过桌面设备,成为访问互联网的最常见终端。于是,网页设计师不得不面对一个难题:如何才能在不同大小的设备上呈现同样的网页?手机的屏幕比较小,宽度通常在600像素以下;PC的屏幕宽度,一般都在...

华科精品服务

是你在营销推广、品牌树立、产品优化中不可或缺的!