今天ssl.so有5年期通配符SSL证书优惠,我早早地生成了CSR,活动一开始立刻出手25.99人民币抢到了一枚。像这种wildcard ssl证书,平时即使最最便宜的5年也得3、4百块钱吧,像StartSSL这种便宜货也要几百美元一年,真是抢钱啊。一般个人博客弄通配符也就是图个方便,花大价钱的话实在吃不消,所以这次真是抢到干货了。
之前已经将博客配置为SSL Only,不过用的是startssl的免费版单域名证书,这次换成通配符证书,顿时感觉高大上了。nginx的配置也如下做了些更新,主要更新了可用加密方式列表(前段时间已经禁用了SSLv3)以及加入OCSP Stapling功能。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/conf/root_CA_cert_plus_intermediates.crt;
resolver 8.8.8.8;
SSL Lab的评分A+:
这个也仅供参考,其实可以很轻易全部得到100分,但是那样的话浏览器兼容性就很差,要做好安全和可用性之间的平衡。
本文为悠然居(https://wordpress.youran.me/)的原创文章,转载请注明出处!
怎么都是C有点放弃治疗了….
This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C
因为你没有禁用SSLv3,所以其他部分再好也是C
我找了下,是Apache的default设置覆盖了我的内容…然后多谢你的那个最后一个 http strict transport security with long duration 的提示,俺也配置了个A+ … 回头另外做东西用下试试看
请问用SSL是不是必须得有独立的服务器?只有虚拟空间可以使用吗?
必须有独立IP。虚拟空间应该不行。
不过你如果使用CloudFlare的CDN服务的话,它会附赠ssl,这个是可以的。不过CloudFlare有时候会被墙……