Lnmp1.5开启TLSv1.3得支持,获得HTTPS评分A+

自然 2018年12月30日17:45:58 评论
摘要

很多网站HTTPS检测评分都达到了A或者A+,但在看检测结果的时候,发现类似于百度和淘宝这类大用户群的网站居然没有评级到A或者在使用的加密套件上有橙色的加密套件,这就让我们非常诧异,难道是这些个网站不注重安全么?如果说百度评级不高,那还能说得过去,毕竟在搜索的时候没啥重要信息,牺牲一点安全性获取极致的兼容性。

最近在MySLL上给博客得HTTPS进行了一次评分,结果不那么漂亮,原因是引用了不安全得http和PCI DSS不合规,启用了较老得TLSv1.0支持。

Lnmp1.5开启TLSv1.3得支持,获得HTTPS评分A+

既然问题找到了,那我们首先去除或替换不安全得http连接,这个不多加赘述,基本都是wordpress的图片文件链接,直接通过phpmyadmin替换即可,这里重点讲一下如何开启TLSv1.3的支持。

我们需要处理两个地方,NGinx和Openssl,升级openssl从而加载opensll 正式版1.1.1a来编译Nginx即可获得支持。

Lnmp下更新openssl非常简单,我们只需要修改安装目录lnmp1.5下的/include/version.sh文件的Openssl_Ver=的值即可,修改为:

  1. Openssl_Ver='openssl-1.1.1a'

然后运行./upgrade.sh nginx对Nginx进行一下编译几个

Lnmp1.5开启TLSv1.3得支持,获得HTTPS评分A+

手动输入NGinx的版本号,例如1.14.2回车即可

Nginx的版本号可以在http://nginx.org/en/download.html中看见。

稍等几分钟Nginx就便宜完成了,然后就是修改网站的Nginx配置文件了。

lnmp1.5的网站Vhost配置文件存放在/usr/local/nginx/conf/vhost/下

打开配置文件,修改TLSv的支持版本即可

  1. ssl_protocols TLSv1.2 TLSv1.3;
  2. ssl_prefer_server_ciphers on;
  3. ssl_ciphers "EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5";

这里取消了TLSv1.0的支持。

通过Myssl评分依然无法或者A+,提示不符合HSTS标准

Lnmp1.5开启TLSv1.3得支持,获得HTTPS评分A+

这个评分,并不仅仅是针对于证书的部署情况而言的,这是一个多方面综合的评级。其中包括了证书SSL协议加密套件漏洞不安全的外链等等。如果您的网站的评分已经达到A,那么没有被评到A+的最大的可能性就是没有使用HSTS,使用HSTS的方法很简单,只要在添加Strict-Transport-Security这个HTTP头部信息即可。
nginx服务器做说明:

在网站的Vhost的conf配置文件中添加

  1. add_header Strict-Transport-Security "max-age=31536000";

即可。

运行lnmp nginx restart 重启即可,再次评分即可获得A+评分。

Lnmp1.5开启TLSv1.3得支持,获得HTTPS评分A+

weinxin
公众号:网科文媒
快来关注一下,你想要的这里都有喔!! -运维笔记 -建站知识 -绿色软件 -爱听音乐 -热门电影 -校园语录 -视频教程 -OFFICES -购物联盟 -智慧服务 -运维托管 -建站指导
自然

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: