当前位置:论坛首页 > Linux面板 > 求助

SSL LABS 的评分为 B,请问如何解决?

发表在 Linux面板2017-4-19 09:43 [复制链接] 4 3004

本帖最后由 jackkwan 于 2017-4-19 09:48 编辑

SSL LABS 的评分为 B,请问如何解决?提示有两个服务器的原因:
ssl-labs.png



使用道具 举报 只看该作者 回复
发表于 2017-4-19 13:44:14 | 显示全部楼层
我是用这个配置,现在评级为A
nginx参考配置
  1. server {
  2.     listen       443 ssl;
  3.     ssl      on;
  4.     server_name  demo.com;
  5.     root /data1/www/demo;
  6.     access_log /var/log/nginx/demo-access.log main;
  7.     error_log /var/log/nginx/demo-error.log warn;
  8.     ssl_certificate /usr/local/nginx/conf/conf.d/ssl/demo.crt;
  9.     ssl_certificate_key /usr/local/nginx/conf/conf.d/ssl/demo_nopass.key;
  10.     resolver_timeout 1d;
  11.     #ssl 会话缓存配置,参考:http://nginx.org/en/docs/http/configuring_https_servers.html
  12.     ssl_session_cache shared:SSL:50m;
  13.     ssl_session_tickets off;
  14.     ssl_dhparam /usr/local/nginx/conf/conf.d/ssl/dhparam.pem;
  15.     #不再使用旧的不安全的 SSLv2 和 SSLv3
  16.     ssl_protocols   TLSv1 TLSv1.1 TLSv1.2;
  17. ssl_ciphers
  18.   'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  19.     ssl_prefer_server_ciphers on;
  20.     resolver 202.106.0.20 8.8.8.8 valid=300s;
  21. }
复制代码


注意,只需添加一下这段,禁用不安全的协议就可以了
  1. #不再使用旧的不安全的 SSLv2 和 SSLv3
  2.     ssl_protocols   TLSv1 TLSv1.1 TLSv1.2;
  3. ssl_ciphers
  4.   'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  5.     ssl_prefer_server_ciphers on;
  6.     resolver 202.106.0.20 8.8.8.8 valid=300s;
复制代码
使用道具 举报 回复 支持 反对
发表于 2017-4-19 14:05:54 | 显示全部楼层
发现这个也可以用,使用后评级A+,这是Mozilla的权威配置,你可以在里面根据自己的版本进行调试:网址戳https://mozilla.github.io/server-side-tls/ssl-config-generator/

参考:
  1. server {
  2.     listen 80 default_server;
  3.     listen [::]:80 default_server;

  4.     # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
  5.     return 301 https://$host$request_uri;
  6. }

  7. server {
  8.     listen 443 ssl;
  9.     listen [::]:443 ssl;

  10.     # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
  11.     ssl_certificate /path/to/signed_cert_plus_intermediates;
  12.     ssl_certificate_key /path/to/private_key;
  13.     ssl_session_timeout 1d;
  14.     ssl_session_cache shared:SSL:50m;
  15.     ssl_session_tickets off;


  16.     # modern configuration. tweak to your needs.
  17.     ssl_protocols TLSv1.2;
  18.     ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  19.     ssl_prefer_server_ciphers on;

  20.     # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
  21.     add_header Strict-Transport-Security max-age=15768000;

  22.     # OCSP Stapling ---
  23.     # fetch OCSP records from URL in ssl_certificate and cache them
  24.     ssl_stapling on;
  25.     ssl_stapling_verify on;

  26.     ## verify chain of trust of OCSP response using Root CA and Intermediate certs
  27.     ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;

  28.     resolver <IP DNS resolver>;

  29.     ....
  30. }
复制代码
使用道具 举报 回复 支持 反对
发表于 2017-4-20 10:58:32 | 显示全部楼层
mark,正好准备启用wordpress的https.
使用道具 举报 回复 支持 反对
发表于 2017-4-24 14:32:41 | 显示全部楼层
留个脚印,以备不时之需
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

企业版年付运维跟进群

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急问题处理

论坛响应时间:10分钟

问题处理方式:1对1处理(优先)

工作时间:白班:9:00 - 18:00

工作时间:晚班:18:00 - 24:00

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表