• 关于国内某个软件代理商代理的CorelDRAW系列软件,如果各位需要正版请访问corel官方网站,不要访问带有china的网站!!!反正话是放在这里了,听不听随你
  • 感谢访问,请访问https://alipay.vnas.me领取支付宝红包
  • 如果遇到文章图片不显示请联系管理员处理,谢谢
  • 欢迎访问寡人的吐槽胜地,我们真的只是吐槽,不谈技术,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站
  • 感谢访问,请访问https://alipay.vnas.me领取支付宝红包
  • 版权声明:大部分文章是从网上复制的!并不表示全部都是从网上复制的!
  • 感谢访问,请访问https://alipay.vnas.me领取支付宝红包
  • 如果遇到文章图片不显示请联系管理员处理,谢谢
  • 关于国内某个软件代理商代理的CorelDRAW系列软件,如果各位需要正版请访问corel官方网站,不要访问带有china的网站!!!反正话是放在这里了,听不听随你
  • 如果遇到文章图片不显示请联系管理员处理,谢谢

SSL/TLS安全评估为B的解决方法

技术类 大变态 6个月前 (10-17) 756次浏览 未收录 0个评论

近期使用SSL/TLS 安全评估报告查询网站 SSL 安全性的时候网站安全性总是 B,现在通过下面的方式可以升级到 A 或者 A+。当然我们也提供了 nginx 不使用 CDN 的情况下的配置方案。

使用了 Fikker CDN 系统

Fikker 是一个非常好的反向代理系统, 但是他们的 SSL 默认配置文件有点问题, 导致 SSL 评级会比较差, 主要提示是:

服务器易受到 POODLE 漏洞攻击,降级为 C
因为使用 RC4 密码套件,降级为 B


其实 Fikker 已经提供解决方案了, 只需要修改一下 Fikker 的 SSL 配置文件就可以了.
进入 Fikker 的 ssl 配置目录, 如

cd /root/fikkerd-3.7.5-linux-x86-64/config/ssl

先备份原来的配置文件

mv ssl.ini ssl.ini.bk  #备份原来的 ssl 配置
mv ssl.ini.HIGH\! ssl.ini  #生成新的 ssl 配置

再重启 fikkerd 服务就好了

cd /root/fikkerd-版本号-linux-x86-64/
./fikkerd.sh restart

再来测试一下

但是要注意, 如果这样设置 Windows XP 系统的 IE 6 和 IE 8 浏览器(不包括其他浏览器)是无法打开 HTTPS 网站, 详情请看这里:
HTTPS 安全与兼容性配置指南

只使用了 nginx 没有使用 CDN 的情况下的配置方案

在网站的配置文件中修改为以下内容即可(宝塔页面,lnmp 请前往主机的 vhost.conf 修改):

    #HTTP_TO_HTTPS_END
    ***
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;  #就只需要修改这两行内容就可以了
    ***
    
    #SSL-END

要让修改结果生效,请重启 nginx。
其他网页服务器软件请自行百度。

到这里,检查结果只会在 A 不会到 A+,要到 A+需要打开 HSTS,接下来说说设置 HSTS。

设置 HSTS

HSTS 只支持打开了 ssl 的网站,并且打开了 HSTS 就表示这个域名要一直提供 ssl 服务,中断 ssl 服务可能让域名无法正常访问,请谨慎设置。

在网站的配置的网站 Server_name 下添加add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";即可打开 HSTS。

server

{
    listen 80;
    listen 443 ssl http2;
    server_name 你的域名;
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";  
    #添加这一行代码就可以了,63072000 表示 63072000 秒即一年。
    index index.php index.html index.htm default.php default.htm default.html;
    root /www/wwwroot/你的域名;

设置完 HSTS 后需要重启 Nginx 服务方可生效,由于缓存问题,可能无法及时生效,需要等一段时间再去测试,这样就可以达到 A+了。


本站大部分资源收集于网络,只做学习和交流使用,版权归原作者所有;若为付费内容,请在下载后 24 小时之内自觉删除,若作商业用途请购买正版;如果有版权争议,请发送邮件至 master@digac.cc(请留下写明原因和文章链接),我们将及时处理,谢谢!

喜欢 (0)
大变态
关于作者:
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址