Lnmp1.5开启TLSv1.3得支持,获得HTTPS评分A+

自然
自然
自然
392
文章
461
评论
2018年12月30日17:45:58 评论 1074字阅读3分34秒
摘要

很多网站HTTPS检测评分都达到了A或者A+,但在看检测结果的时候,发现类似于百度和淘宝这类大用户群的网站居然没有评级到A或者在使用的加密套件上有橙色的加密套件,这就让我们非常诧异,难道是这些个网站不注重安全么?如果说百度评级不高,那还能说得过去,毕竟在搜索的时候没啥重要信息,牺牲一点安全性获取极致的兼容性。

最近在MySLL上给博客得HTTPS进行了一次评分,结果不那么漂亮,原因是引用了不安全得http和PCI DSS不合规,启用了较老得TLSv1.0支持。

Lnmp1.5开启TLSv1.3得支持,获得HTTPS评分A+

既然问题找到了,那我们首先去除或替换不安全得http连接,这个不多加赘述,基本都是wordpress的图片文件链接,直接通过phpmyadmin替换即可,这里重点讲一下如何开启TLSv1.3的支持。

我们需要处理两个地方,NGinx和Openssl,升级openssl从而加载opensll 正式版1.1.1a来编译Nginx即可获得支持。

Lnmp下更新openssl非常简单,我们只需要修改安装目录lnmp1.5下的/include/version.sh文件的Openssl_Ver=的值即可,修改为:

  1. Openssl_Ver='openssl-1.1.1a'

然后运行./upgrade.sh nginx对Nginx进行一下编译几个

Lnmp1.5开启TLSv1.3得支持,获得HTTPS评分A+

手动输入NGinx的版本号,例如1.14.2回车即可

Nginx的版本号可以在http://nginx.org/en/download.html中看见。

稍等几分钟Nginx就便宜完成了,然后就是修改网站的Nginx配置文件了。

lnmp1.5的网站Vhost配置文件存放在/usr/local/nginx/conf/vhost/下

打开配置文件,修改TLSv的支持版本即可

  1. ssl_protocols TLSv1.2 TLSv1.3;
  2. ssl_prefer_server_ciphers on;
  3. ssl_ciphers "EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5";

这里取消了TLSv1.0的支持。

通过Myssl评分依然无法或者A+,提示不符合HSTS标准

Lnmp1.5开启TLSv1.3得支持,获得HTTPS评分A+

这个评分,并不仅仅是针对于证书的部署情况而言的,这是一个多方面综合的评级。其中包括了证书SSL协议加密套件漏洞不安全的外链等等。如果您的网站的评分已经达到A,那么没有被评到A+的最大的可能性就是没有使用HSTS,使用HSTS的方法很简单,只要在添加Strict-Transport-Security这个HTTP头部信息即可。
nginx服务器做说明:

在网站的Vhost的conf配置文件中添加

  1. add_header Strict-Transport-Security "max-age=31536000";

即可。

运行lnmp nginx restart 重启即可,再次评分即可获得A+评分。

Lnmp1.5开启TLSv1.3得支持,获得HTTPS评分A+

weinxin
自然博客
快来关注一下,一个linux运维爱好者的个人博客!
自然
  • 本文由 发表于 2018年12月30日17:45:58
解决nginx反向代理proxy不能转发header报头 Nginx

解决nginx反向代理proxy不能转发header报头

做了一个德国高防plesk卖虚拟主机,奈何地理位置太过于遥远,控制台使用上速度难以接受。用户站点可以使用cloudflare等等的加速手段,控制台能否也这么干呢?理论是完全可以的,那么时间上手看吧。安...
WP-China-Yes自建wordpress中国区仓库源 Nginx

WP-China-Yes自建wordpress中国区仓库源

WordPress的CDN在19年被国内攻击后(存疑),一直屏蔽了大陆IP的访问,从大陆访问WP的服务都会返回429 Too Many Requests。虽然WP官方社区并不承认屏蔽了大陆地区的访问(...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: