V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Livid
V2EX  ›  SSL

如何优化才能在 Qualys SSL Labs 的测试里拿到 A+ 呢?

  •  
  •   Livid · 2015-03-06 03:17:37 +08:00 · 5251 次点击
    这是一个创建于 3582 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://www.ssllabs.com/ssltest/

    很好奇两个问题:

    - 有 A+ 这个等级么?
    - 有比 A+ 更高的等级么,如果四项全部 100 的话有可能可以拿到 S 级?
    11 条回复    2015-03-17 17:51:28 +08:00
    Tianpu
        1
    Tianpu  
       2015-03-06 03:33:55 +08:00   ❤️ 1
    基本配置+ocsp+hsts就是A+

    全部100没什么意义,要牺牲很多兼容性

    http://blog.ricardomacas.com/index.php?controller=post&action=view&id_post=2
    imlonghao
        3
    imlonghao  
       2015-03-06 05:46:25 +08:00 via Android
    esd.cc A+
    长HSTS.
    futursolo
        4
    futursolo  
       2015-03-06 07:13:12 +08:00
    有办法,只是要牺牲IE6和Android 2.3
    futursolo
        5
    futursolo  
       2015-03-06 07:14:37 +08:00
    将Nginx和OpenSSL更新到最新并使用以下配置就可以达到A+。
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers CHACHA20:AES128:AES256:GCM:!DH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS;
    add_header Strict-Transport-Security max-age=31536000;
    ssl_prefer_server_ciphers on;
    liuchen9586
        6
    liuchen9586  
       2015-03-06 07:31:48 +08:00
    用SHA256证书(注意补全中间链),开启长HSTS(Nginx可以做到),SSL方式选TLS 1.0 / 1.1 / 1.2 即可。
    vibbow
        7
    vibbow  
       2015-03-06 08:47:30 +08:00
    ls25145
        8
    ls25145  
       2015-03-06 08:52:14 +08:00
    我说怎么地址栏里原来的三角感叹号变成锁了呢
    blahgeek
        9
    blahgeek  
       2015-03-08 10:15:06 +08:00
    xiaozhizhu1997
        10
    xiaozhizhu1997  
       2015-03-10 20:54:12 +08:00 via Android
    关键就是忽略掉SSL3.0,不过会间接放弃对IE6及更低版本的支持
    事实证明SSL3.0真的不安全了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1874 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:25 · PVG 00:25 · LAX 08:25 · JFK 11:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.