启用https后可以通过网站 ssllabs 判定安全级别。昨天的文章里启用的https评级后发现是C级,需要提升一下。
主要是通过配置nginx来提供安全级别。
操作环境
操作系统: ubuntu
nginx版本号:1.1.9
准备工作:
将openssl升级为1.0.1g,或者版本号降低为:1.0.0或者0.9.8。
配置nginx
本机配置文件路径为:/etc/nginx/sites-available/default
在default配置文件末尾做如下配置
server {
listen 443;
server_name mit.wang;
index index.html index.htm;
ssl on;
ssl_certificate /etc/letsencrypt/live/mit.wang/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/mit.wang/privkey.pem;
ssl_session_timeout 5m;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_prefer_server_ciphers on;
ssl_ecdh_curve secp384r1; # Requires nginx >= 1.1.0
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
location / {
root /var/www/;
}
}
上述代码中的dhparam.pem文件是通过如下方式生成的,生成的过程会比较长不用着急:
cd /etc/ssl/certs
openssl dhparam -out dhparam.pem 4096
各参数的意义可查看这篇文章:https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html#
配置完成后重启nginx,通过 ssllabs网站再测试一次,如果一切ok,安全级别应该已经达到A+了。否则仔细检查配置文件是否有错。