这是一个创建于 3545 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
Tianpu 2015-03-06 03:33:55 +08:00  1
基本配置+ocsp+hsts就是A+
全部100没什么意义,要牺牲很多兼容性 http://blog.ricardomacas.com/index.php?controller=post&action=view&id_post=2 |
 |
2
zhttty 2015-03-06 03:33:56 +08:00 via Android 1
|
 |
4
futursolo 2015-03-06 07:13:12 +08:00
有办法,只是要牺牲IE6和Android 2.3
|
|
5
futursolo 2015-03-06 07:14:37 +08:00
将Nginx和OpenSSL更新到最新并使用以下配置就可以达到A+。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers CHACHA20:AES128:AES256:GCM:!DH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS; add_header Strict-Transport-Security max-age=31536000; ssl_prefer_server_ciphers on; |
 |
6
liuchen9586 2015-03-06 07:31:48 +08:00
用SHA256证书(注意补全中间链),开启长HSTS(Nginx可以做到),SSL方式选TLS 1.0 / 1.1 / 1.2 即可。
|
 |
7
vibbow 2015-03-06 08:47:30 +08:00
|
 |
8
ls25145 2015-03-06 08:52:14 +08:00
我说怎么地址栏里原来的三角感叹号变成锁了呢
|
 |
9
blahgeek 2015-03-08 10:15:06 +08:00
那个网站本身也只有A+... https://www.ssllabs.com/ssltest/analyze.html?d=ssllabs.com
|
 |
10
xiaozhizhu1997 2015-03-10 20:54:12 +08:00 via Android
关键就是忽略掉SSL3.0,不过会间接放弃对IE6及更低版本的支持
事实证明SSL3.0真的不安全了 |
Select Language