最近在MySLL上给博客得HTTPS进行了一次评分,结果不那么漂亮,原因是引用了不安全得http和PCI DSS不合规,启用了较老得TLSv1.0支持。
既然问题找到了,那我们首先去除或替换不安全得http连接,这个不多加赘述,基本都是wordpress的图片文件链接,直接通过phpmyadmin替换即可,这里重点讲一下如何开启TLSv1.3的支持。
我们需要处理两个地方,NGinx和Openssl,升级openssl从而加载opensll 正式版1.1.1a来编译Nginx即可获得支持。
Lnmp下更新openssl非常简单,我们只需要修改安装目录lnmp1.5下的/include/version.sh文件的Openssl_Ver=的值即可,修改为:
- Openssl_Ver='openssl-1.1.1a'
然后运行./upgrade.sh nginx对Nginx进行一下编译几个
手动输入NGinx的版本号,例如1.14.2回车即可
Nginx的版本号可以在http://nginx.org/en/download.html中看见。
稍等几分钟Nginx就便宜完成了,然后就是修改网站的Nginx配置文件了。
lnmp1.5的网站Vhost配置文件存放在/usr/local/nginx/conf/vhost/下
打开配置文件,修改TLSv的支持版本即可
- ssl_protocols TLSv1.2 TLSv1.3;
- ssl_prefer_server_ciphers on;
- ssl_ciphers "EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5";
这里取消了TLSv1.0的支持。
通过Myssl评分依然无法或者A+,提示不符合HSTS标准
这个评分,并不仅仅是针对于证书的部署情况而言的,这是一个多方面综合的评级。其中包括了证书、SSL协议、加密套件、漏洞、不安全的外链等等。如果您的网站的评分已经达到A,那么没有被评到A+的最大的可能性就是没有使用HSTS,使用HSTS的方法很简单,只要在添加Strict-Transport-Security这个HTTP头部信息即可。
用nginx服务器做说明:
在网站的Vhost的conf配置文件中添加
- add_header Strict-Transport-Security "max-age=31536000";
即可。
运行lnmp nginx restart 重启即可,再次评分即可获得A+评分。
2018-01-15 PS:纠正一下lnmp1.5已经默认支持Apache/nginx开启TLSv1.3功能,这个方法依然适用与老版本Lnmp一键环境。
