这是一个创建于 3340 天前的主题,其中的信息可能已经有所发展或是发生改变。
debian 6 老系统,不容易, openssl 和 nginx 都要自己装。
第 1 条附言 · 2015-10-02 14:19:28 +08:00
调整了一下 cipher ,现在只有 IE6 不支持,依然是 A+
第 2 条附言 · 2015-10-07 14:28:10 +08:00
第 3 条附言 · 2016-02-01 14:44:06 +08:00
更好的方案,请移步
Mozilla SSL Configuration Generator
https://mozilla.github.io/server-side-tls/ssl-config-generator/
Mozilla SSL Configuration Generator
https://mozilla.github.io/server-side-tls/ssl-config-generator/
 |
1
ivmm 2015-09-30 17:52:43 +08:00  1
不发教程、心得,就是炫耀。
严重鄙视 LZ 这种行为。 |
 |
4
Altman 2015-09-30 17:56:17 +08:00
什么工具测的?
|
 |
5
jasontse 2015-09-30 17:56:24 +08:00 via iPad
兼容性太差意义不大,只能自己看看玩。
|
 |
6
zhicheng OP |
 |
7
songjiaxin2008 2015-09-30 18:03:44 +08:00 via iPhone
blog.solarhell.com 晒一发 嘻嘻
|
|
8
zhicheng OP @songjiaxin2008 博客很简洁哦,欢迎你来试一下 TextArea.com 。
|
 |
9
holulu 2015-09-30 18:05:02 +08:00 1
把 TLS 1.0 和 TLS 1.1 都禁掉,就全部满分了!^_^
|
 |
10
tntsec 2015-09-30 18:08:12 +08:00 1
|
|
11
holulu 2015-09-30 18:09:05 +08:00
把证书重签成 384 位的 ECC ,比 4096 位的 RSA 的效率高。再用上 CHACHA20-POLY1305 ,移动设备的加密速度会好多的。
|
|
12
ivmm 2015-09-30 18:09:16 +08:00
|
 |
14
Had 2015-09-30 18:21:37 +08:00
|
 |
15
debiansid 2015-09-30 18:45:07 +08:00 via iPhone
Ubuntu 呢
|
 |
16
Citrus 2015-09-30 18:53:43 +08:00 via iPhone
|
 |
17
iyaozhen 2015-09-30 19:00:33 +08:00 1
|
 |
18
Lentin 2015-09-30 19:06:16 +08:00
cloudflare 即可>.>
codex.eu.org |
 |
19
wdlth 2015-09-30 19:07:32 +08:00
A+ 不是很难, Suites 设好,连 PCI 、 FIPS 都能过。
|
|
20
holulu 2015-09-30 19:07:40 +08:00
@Citrus 这个跟分数高低没关系吧,不出现重大的安全问题就好了。即使追求高分也不会带来什么麻烦,最多就是旧的浏览器上不了。如果前端不想兼容旧浏览器也刚好做了过滤,愿意上不了,也不要看到版面乱七八糟的页面。
|
 |
21
Daddy 2015-09-30 19:32:40 +08:00 2
都在发自己的博客吗? http://1807136262
|
 |
23
xfspace 2015-09-30 19:59:55 +08:00 via Android
https://lglp.de 牺牲 XP ,加个 迪菲-赫尔曼密钥交换。同样 A+
|
 |
25
dommyet 2015-09-30 20:11:46 +08:00 via Android
全部調好只能實現 A 加上時間足夠長的 HSTS 後就可以變成 A+了 足夠長比如一年
|
 |
26
qgy18 2015-09-30 20:14:20 +08:00 via iPhone
https://imququ.com
发现本帖变成博客秀了。 |
 |
27
Quaintjade 2015-09-30 20:19:11 +08:00
曾经配出过满分的路过,只不过兼容性极差没卵用。。。
|
|
28
songjiaxin2008 2015-09-30 20:33:34 +08:00 via iPhone
@zhicheng 好的谢谢 有机会尝试一下
|
 |
29
rrkelee 2015-09-30 20:33:34 +08:00 via Android 1
|
 |
30
hiroya 2015-09-30 20:59:35 +08:00 via iPad
加了 HSTS 才能到 A+,不过完全没意思,为一个 A+牺牲全部子站感觉不值得……所以一直都是 A-
https://alleysakura.com 当时窝弄上了 HTTP/2 在兼容性上也是扣分扣得一塌糊涂 orz |
 |
31
zealot0630 2015-09-30 21:05:44 +08:00
@hiroya 不用加 subdomain 也可以 A+ https://www.ssllabs.com/ssltest/analyze.html?d=blog.kghost.info
|
 |
32
Zzzzzzzzz 2015-09-30 21:08:19 +08:00
OP 肯定在想"居然都真的都开始讨论 ssl 了, 竟然没一个发现我的米".
我来吧, 好米啊. |
|
33
zealot0630 2015-09-30 21:08:31 +08:00
|
|
36
zealot0630 2015-09-30 21:13:10 +08:00
|
 |
37
totalfee 2015-09-30 21:18:17 +08:00
www.google.com 测试得分是大多数是 B , www.baidu.com 得分是 C
|
|
38
hiroya 2015-09-30 21:20:51 +08:00 via iPad
@zealot0630 嗯,研究研究,一个帖子炸出这么多博客 23333333
|
 |
39
xierch 2015-09-30 22:03:11 +08:00
|
|
40
holulu 2015-09-30 22:46:48 +08:00
@zealot0630 这个不是为了满分,只是为效率。只启用 TLS 1.2 协议,其他都禁用应该可以满分了。
|
 |
41
imlonghao 2015-09-30 23:02:23 +08:00
|
 |
42
402645707 2015-09-30 23:14:34 +08:00 1
A+了 Chrome 依然黄锁
|
 |
43
feather12315 2015-09-30 23:34:23 +08:00 via Android
一直 A+…
禁用 ssl3 ,启用 D-H 协商就行了。 我外加了强制 https 。 |
 |
44
skydiver 2015-09-30 23:42:26 +08:00
照着这个页面 https://weakdh.org/sysadmin.html 改一下 nginx 配置就 A+了
|
 |
45
Andy1999 2015-09-30 23:46:52 +08:00 via iPhone 1
|
 |
47
DiffView 2015-10-01 00:47:08 +08:00
貌似挂的只有 ie6 和 Java 6u45
https://www.ssllabs.com/ssltest/analyze.html?d=fancycoding.com 觉得没意思啊,没意思啊没意思啊没意思 |
 |
48
sparanoid MOD 1
像我从来不在乎兼容性的。只开 TLSv1.2 就可以全部四个 100 分了 https://www.ssllabs.com/ssltest/analyze.html?d=experiments.sparanoid.com
|
|
49
xierch 2015-10-01 02:18:50 +08:00
CloudFlare 开 HSTS 也是 A+, 100 95 90 90
不兼容 XP/IE ,需要支持 SNI |
 |
50
seki 2015-10-01 02:23:42 +08:00 1
|
 |
51
Arnaud 2015-10-01 03:06:25 +08:00 1
#SSL Begin
listen 443 ssl; ssl on; ssl_certificate /home/wwwroot/your/vhost/crt.crt; ssl_certificate_key /home/wwwroot/your/vhost/key.key; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA'; ssl_prefer_server_ciphers on; ssl_dhparam /home/wwwroot/your/vhost/dhparams.pem; add_header Strict-Transport-Security max-age=31536000; ssl_stapling on; ssl_stapling_verify on; #SSL End 这样配置就 A+了,参考 https://www.ssllabs.com/ssltest/analyze.html?d=ssno.de https://www.ssllabs.com/ssltest/analyze.html?d=gfw.si |
 |
52
lincanbin 2015-10-01 04:19:32 +08:00 1
 |
 |
53
fengyqf 2015-10-01 08:29:23 +08:00
感觉是强迫症,跟 360 体检 100 分类似
|
 |
54
aivier 2015-10-01 09:17:39 +08:00
什么?还有人考虑 IE8 ?...我连 IE10 都扔了
|
 |
55
loveminds 2015-10-01 09:30:53 +08:00
为啥不用 debian 7 or 8
|
|
59
loveminds 2015-10-01 09:45:57 +08:00
@ivmm add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
|
 |
63
huangtao728 2015-10-01 09:54:25 +08:00 via Android
|
 |
65
zyx89513 2015-10-01 14:53:37 +08:00
之前调出来以后 收不到支付宝支付的异步通知了, 我用的 nginx
|
 |
67
QQ1685425675 2015-10-02 09:37:41 +08:00
支持楼主分享一下教程哦
|
|
68
Citrus 2015-10-02 15:08:48 +08:00 via iPhone
@holulu 某天,拿着朋友的手机,来看看我的博客吧!可是死活打不开,最后发现是 HTTPS 的问题。。。这就是我当时追求高分的结果。。。
我想说的是,你永远不知道你可能要在哪打开你的博客。比如帮别人处理问题而刚好自己的博客有记录,结果发现自己的博客打不开,然后又要从头搜。这样浪费的时间我宁愿用降低得分来换。。。 |
|
69
holulu 2015-10-02 15:59:21 +08:00
@Citrus 我想说的是,我的博客压根就没打算用来帮别人处理问题,只为自娱自乐地装逼炫酷。自己的东西想怎么玩就怎么玩吧。追求满分也就满足一下自己的成就感。
|
 |
70
neo2015 2015-10-02 17:49:12 +08:00
|
 |
71
tkggqq 2015-10-07 20:08:17 +08:00
mark 一下.回头试试.
|
 |
72
lenovo 2015-10-21 15:37:09 +08:00
|
 |
73
paicha 2015-11-10 23:04:23 +08:00
奇怪,我完全参照楼主的教程,只有一个 B 。
|
|
74
paicha 2015-11-11 11:10:33 +08:00 1
找出问题了, www 的我做了跳转,但也要配置这些设置。
|
 |
75
wwek 2018-03-14 22:59:22 +08:00
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000; 只有 A 没有 A+的 nginx 中增加 HSTS 头就可以了 |
Select Language