鸟枪换炮之Wildcard SSL

October 24th, 2014 Leave a comment Go to comments

今天ssl.so有5年期通配符SSL证书优惠,我早早地生成了CSR,活动一开始立刻出手25.99人民币抢到了一枚。像这种wildcard ssl证书,平时即使最最便宜的5年也得3、4百块钱吧,像StartSSL这种便宜货也要几百美元一年,真是抢钱啊。一般个人博客弄通配符也就是图个方便,花大价钱的话实在吃不消,所以这次真是抢到干货了。

之前已经将博客配置为SSL Only,不过用的是startssl的免费版单域名证书,这次换成通配符证书,顿时感觉高大上了。nginx的配置也如下做了些更新,主要更新了可用加密方式列表(前段时间已经禁用了SSLv3)以及加入OCSP Stapling功能。

SSL Lab的评分A+:
ssl_rating_alphassl

这个也仅供参考,其实可以很轻易全部得到100分,但是那样的话浏览器兼容性就很差,要做好安全和可用性之间的平衡。

本文为悠然居(https://wordpress.youran.me/)的原创文章,转载请注明出处!

声明: 本文采用 BY-NC-SA 协议进行授权. 转载请注明转自: 鸟枪换炮之Wildcard SSL
  1. Yu | #1
    October 24th, 2014 at 23:03 |

    怎么都是C有点放弃治疗了….

    Google Chrome 38.0.2125.104 Google Chrome 38.0.2125.104 Mac OS X  10.10.0 Mac OS X 10.10.0
    • youran | #2
      October 24th, 2014 at 23:08 |

      This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C
      因为你没有禁用SSLv3,所以其他部分再好也是C

      Google Chrome 38.0.2125.104 Google Chrome 38.0.2125.104 Mac OS X  10.9.5 Mac OS X 10.9.5
      • Yu | #3
        October 24th, 2014 at 23:31 |

        我找了下,是Apache的default设置覆盖了我的内容…然后多谢你的那个最后一个 http strict transport security with long duration 的提示,俺也配置了个A+ … 回头另外做东西用下试试看

        Google Chrome 38.0.2125.104 Google Chrome 38.0.2125.104 Mac OS X  10.10.0 Mac OS X 10.10.0
  2. Jack | #4
    November 15th, 2014 at 09:49 |

    请问用SSL是不是必须得有独立的服务器?只有虚拟空间可以使用吗?

    Google Chrome 38.0.2125.111 Google Chrome 38.0.2125.111 Windows 8.1 x64 Edition Windows 8.1 x64 Edition
    • youran | #5
      November 15th, 2014 at 23:47 |

      必须有独立IP。虚拟空间应该不行。
      不过你如果使用CloudFlare的CDN服务的话,它会附赠ssl,这个是可以的。不过CloudFlare有时候会被墙……

      Google Chrome 38.0.2125.122 Google Chrome 38.0.2125.122 Mac OS X  10.9.5 Mac OS X 10.9.5
  1. No trackbacks yet.