在www.ssllabs.com上testing我的SSL证书时,我试图在所有类别上得分100
但是,我正在努力争取A +和100分。
任何提示什么Nginxconfiguration我应该使用? 或者我应该如何生成我们的encryption证书? 谢谢
使用Microsoft Crypto API(Windows证书存储)时如何隐藏和使用对话框
使用bash shell脚本encryption文件
我解密的密码是1个字符或短
C for Linux中的公钥实现
我需要使用Nginx还是Apache来使用Lets Encrypt?
我怎样才能逆向工程在Windows应用程序中打乱的数据包?
我如何在Linux上创build一个独立的encryption文件?
相当于CryptProtectMemory的Linux
这些说明适用于所有证书(包括让我们加密证书)。 不过,我们给出一两个让我们加密的提示。
下面给出的Nginx SSL配置会给你以下的SSL实验室分数。 你选:
推荐的
A +
证书100/100
协议支持95/100
密钥交换90/100
密码强度90/100
完美但有限制
A +
证书100/100
协议支持100/100
密钥交换100/100
密码强度100/100
Nginx SSL配置 – 提取你想要的位。 这些说明阐明了一个给定的Nginx指令如何影响您的SSL实验室得分:
# Your listen directive should be .. listen 443 ssl http2; # gzip off; # gzip over ssl? really? ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem; #################### ssllabs.com Protocol Support ssl_protocols TLSv1.2 TLSv1.1 TLSv1; # score=95 (recommended) # ssl_protocols TLSv1.2; # score=100 #################### ssllabs.com Key Exchange # score=90 (recommended) ssl_dhparam /etc/letsencrypt/live/yourdomain.com/dhparam2048.pem; # openssl dhparam -out dhparam2048.pem 2048 ssl_ecdh_curve secp384r1; # optional # score=100 (must generate letsencrypt certs with flag --rsa-key-size 4096) # ssl_dhparam /etc/letsencrypt/live/yourdomain.com/dhparam4096.pem; # openssl dhparam -out dhparam4096.pem 4096 # ssl_ecdh_curve secp384r1; # required #################### ssllabs.com Cipher Strength - see https://wiki.mozilla.org/Security/server_Side_TLS#Recommended_configurations ssl_ciphers ECDHE-ECDSA-CHACHA20-poly1305:ECDHE-RSA-CHACHA20-poly1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:EC DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES25 6-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS; # score=90 (recommended) # ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL; # score=100 #################### ssllabs.com A+ - Enable HSTS on all subdomains add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; # add_header Strict-Transport-Security "max-age=0; includeSubDomains"; # Delete browser cached HSTS policy (ie turn HSTS off) # THE PRELOAD DIRECTIVE WILL HAVE SEMI-PERMANENT CONSEQUENCE AND IS IRreversiBLE - DO NOT USE UNTIL FULLY TESTED AND YOU UNDERSTAND WHAT YOU ARE DOING! # add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always; #################### Other typical SSL settings that DO NOT effect the ssllabs.com score ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 10s; add_header x-frame-options DENY; add_header X-Content-Type-Options nosniff;
请注意,如果您的以下情况只能在密钥交换中获得100:
证书RSA密钥大小为4096(用于让我们加密时使用–rsa-key-size 4096生成证书时,否则您卡在您的CA为您生成证书时使用的RSA密钥大小)和
dhparam是4096(openssl dhparam -out dhparam4096.pem 4096) – 这大约需要1个小时才能生成,对自动化解决方案没有用处
编辑
2048年是未来40年的足够安全。 没有人破解1024,更不用说2048了!
openssl dhparam -dsaparam -out dhparam4096.pem 4096 …更快一小时(请参阅-dsaparam标志),但我不知道你是否应该使用它…还没有测试它在SSL实验室测试以来我要2048
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
