如何在 SSL Labs 中拿到 A+ 评分

SSL Labs 网站是一个在线工具,用于评估和分析网站的 SSL/TLS 配置和安全性。它检查 SSL 证书的有效性、支持的加密算法、协议版本等,并根据安全性对网站进行评分。网站管理员和开发人员可以利用该工具的报告和建议,改进 SSL/TLS 配置,提高网站的安全性。

如果使用 Nginx 作为 web 服务器,我们可以借助 SSL Configuration Generator 来生成 Nginx 的 SSL 配置,使用它生成的 SSL 配置避免了一些有安全风险的配置,可以帮助我们在 SSL Labs 中拿到 A+ 评分,提高网站的安全性。

打开网站,配置选择如下图。

可以看到这个网站不仅仅支持生成 Nginx 配置,还支持 Apache、Caddy,甚至支持生成编程语言的安全配置,对我们日常开发也很有帮助。

Server Software:根据你的 web 服务器选择,我这里选择 Nginx
Mozilla Configuration:选择默认的 Intermediate
Environment:根据实际情况输入
Miscellaneous:

  • HTTP Strict Transport Security:
    http 强制跳转到 https
  • OCSP Stapling
    一般取消勾选

以上选项生成的 Nginx 配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
# generated 2023-07-23, Mozilla Guideline v5.7, nginx 1.17.7, OpenSSL 1.1.1k, intermediate configuration, no OCSP
# https://ssl-config.mozilla.org/#server=nginx&version=1.17.7&config=intermediate&openssl=1.1.1k&ocsp=false&guideline=5.7
server {
    listen 80 default_server;
    listen [::]:80 default_server;

    location / {
        return 301 https://$host$request_uri;
    }
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    ssl_certificate /path/to/signed_cert_plus_intermediates;
    ssl_certificate_key /path/to/private_key;
    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;  # about 40000 sessions
    ssl_session_tickets off;

    # curl https://ssl-config.mozilla.org/ffdhe2048.txt > /path/to/dhparam
    ssl_dhparam /path/to/dhparam;

    # intermediate configuration
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;
    ssl_prefer_server_ciphers off;

    # HSTS (ngx_http_headers_module is required) (63072000 seconds)
    add_header Strict-Transport-Security "max-age=63072000" always;
}

上面配置中的 ssl_dhparam 是 Nginx 配置指令之一,用于配置 Diffie-Hellman 参数,这是一种用于密钥交换的加密算法。配置 Diffie-Hellman 参数可以提高 SSL/TLS 的安全性,缺点是它会增加 CPU 负载,一般来说我们不需要配置它,所以要把这行配置给删掉。

将上面配置中的 SSL 相关配置更新到你的 Nginx 配置中,使用 SSL Labs 再次测试你的网站,看下评分,应该到 A+了吧。

#Nginx #SSL Labs
如何在 SSL Labs 中拿到 A+ 评分
https://cui.cc/5ab9b4617768/
作者
南山崔崔
发布于
2023年7月22日
许可协议