网站空间域名

Nginx环境下的SSL证书(https)安全设置



使用最新版本的openssl

禁用 SSLv2 和 SSLv3
这两个协议都是不安全的, 我们应该在服务器上禁用这两个协议。添加一下代码到网站的配置文件, lnmp的网站配置文件位于 /usr/local/nginx/conf/vhost 目录

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

使用安全的Cipher Suite
将以下代码放在网站的配置文件里面

ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

以上设置不支持Winxp/IE6 ,如果你想网站同时Winxp/IE6的话可以使用使用以下的Cipher Suite

ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

额外的安全设置,请添加如下代码

ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
 
Forward Secrecy & Diffie Hellman Ephemeral Parameters
运行以下代码,这段代码运行的时间会比较长,请耐心等待
cd /etc/ssl/certs
openssl dhparam -out dhparam.pem 4096
然后在nginx的网站配置文件中加入如下代码
ssl_dhparam /etc/ssl/certs/dhparam.pem;

添加以上代码后的网址配置文件大致如下

server
    {
        listen 443 ssl spdy;
        server_name www.topssl.net topssl.net;
        index index.html index.htm index.php default.html default.htm default.php;
        root  /home/wwwroot/www.topssl.net;
 
        ssl on;
        ssl_certificate topssl.crt;
        ssl_certificate_key topssl.key;
 
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 
        ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
 
        ssl_prefer_server_ciphers on;
        ssl_session_cache shared:SSL:10m;
 
        ssl_dhparam /etc/ssl/certs/dhparam.pem;
 
......
 
}
以上的加粗代码就是我们添加上的代码。
完成以上的设置后,我们就可以到 https://www.ssllabs.com/ssltest/ 输入你的域名测试一下,看看是不是能够拿到一个 A . :)


相关网站空间域名

avatar

自适应网页设计原理

随着3G的普及,越来越多的人使用手机上网。移动设备正超过桌面设备,成为访问互联网的最常见终端。于是,网页设计师不得不面对一个难题:如何才能在不同大小的设备上呈现同样的网页?手机的屏幕比较小,宽度通常在600像素以下;PC的屏幕宽度,一般都在...

avatar

pc网站改造实现移动端适配

现如今随着智能手机的不断发展,移动端搜索的比例也在不断增加,而传统的PC站点在手机端的用户体验度很差,这容易导致大量用户的流失,所以做一个对应的手机站是非常有必要的。如今,手机站已经逐渐成为一种潮流,基本上有点规模的PC站点都会制作相应的手...

avatar

WordPress打开慢 需要替换谷歌字体

我们的Wordpress站长可能都发现了,自己的网站打开特别慢,尤其是登录了后台的时候,好久才能加载完成,这是由于谷歌打开速度慢引起的,开始并没有在意,但是越来越多的wordpress用户反映这个问题,所以特意关注了一下,发现网上也是有很多...

avatar

Nginx环境下的SSL证书(https)安全设置

使用最新版本的openssl禁用SSLv2 和 SSLv3这两个协议都是不安全的, 我们应该在服务器上禁用这两个协议。添加一下代码到网站的配置文件, lnmp的网站配置文件位于 /usr/local/nginx/conf/vhost 目录s...

avatar

CloudFlare开启HTTP严格传输安全(HSTS)

HTTP Strict Transport Security (通常简称为HSTS,RFC 6797) 是一项网络安全技术,旨在帮助安全的HTTPS的Web服务器免受降级攻击。虽然HSTS能有效抵御网络攻击,但由于部署它相对困难导致这项技术...

华科精品服务

是你在营销推广、品牌树立、产品优化中不可或缺的!