全球主机交流论坛

标题: 大佬们,能不能指教一下有关https的配置问题 [打印本页]
作者: flyfish    时间: 2016-12-11 14:05
标题: 大佬们,能不能指教一下有关https的配置问题
  1.   listen 443 ssl;
  2.          ssl on;
  3.          ssl_certificate /home/wwwroot/xxx.pem;
  4.          ssl_certificate_key /home/wwwroot/xxx.key;
  5.          ssl_session_timeout 5m;
  6.          ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  7.         #ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
  8.          ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+    3DES:!MD5;
  9.         ssl_prefer_server_ciphers on;
复制代码

#的是阿里云给的,ssllabs测试能得A-
下面的那个是CF的,ssllabs得A,但是什么东西都没有说。
(, 下载次数: 0)
想弄个A+呀,求指导。
作者: 阿威    时间: 2016-12-11 14:14
本帖最后由 阿威 于 2016-12-11 14:47 编辑

测试中 alphassl 野卡
(, 下载次数: 0)

The server does not support Forward Secrecy with the reference browsers. Grade reduced to A-.  MORE INFO »
This site works only in browsers with SNI support.

你的站提示上面的哪个,第二个好像说明装SSL的服务器存在其他的域名,只能在支持SNI的浏览器下绿

PS:这个不用纠结,多终端能绿就行,现在没多少人用IE7以下的浏览器了
作者: egoate    时间: 2016-12-11 14:15
https://mozilla.github.io/server-side-tls/ssl-config-generator/
作者: flyfish    时间: 2016-12-11 14:37
egoate 发表于 2016-12-11 14:15
https://mozilla.github.io/server-side-tls/ssl-config-generator/

照火狐那个弄成B了,是我姿势不对么?
(, 下载次数: 0)
作者: flyfish    时间: 2016-12-11 14:38
阿威 发表于 2016-12-11 14:14
测试中 alphassl 野卡

能弄成A+么亲?
作者: 阿威    时间: 2016-12-11 14:41
flyfish 发表于 2016-12-11 14:38
能弄成A+么亲?

陪你研究,你先看看样站对比
A+:https://www.ssllabs.com/ssltest/analyze.html?d=youbeen.com
A :https://www.ssllabs.com/ssltest/analyze.html?d=swiftiphonerepair.co.uk&s=104.27.159.138
作者: egoate    时间: 2016-12-11 14:42
flyfish 发表于 2016-12-11 14:37
照火狐那个弄成B了,是我姿势不对么?

Nginx和Openssl版本选错了。

Nginx -V
作者: zhou0911    时间: 2016-12-11 14:42
你是**座的呀, 有强迫症?非要A+
作者: 阿威    时间: 2016-12-11 14:43
本帖最后由 阿威 于 2016-12-11 14:46 编辑
flyfish 发表于 2016-12-11 14:38
能弄成A+么亲?


The server does not support Forward Secrecy with the reference browsers. Grade reduced to A-.  MORE INFO »
This site works only in browsers with SNI support.

你的站提示上面的哪个,第二个好像说明装SSL的服务器存在其他的域名,只能在支持SNI的浏览器下绿

PS:这个不用纠结,多终端能绿就行,现在没多少人用IE7以下的浏览器了
作者: mrjoel    时间: 2016-12-11 14:51
提示: 作者被禁止或删除 内容自动屏蔽
作者: flyfish    时间: 2016-12-11 15:07
阿威 发表于 2016-12-11 14:43
The server does not support Forward Secrecy with the reference browsers. Grade reduced to A-.  MOR ...

en,不纠结了。哈哈
作者: flyfish    时间: 2016-12-11 15:08
zhou0911 发表于 2016-12-11 14:42
你是**座的呀, 有强迫症?非要A+

要有一颗追求完美的心
作者: zhou0911    时间: 2016-12-11 15:28
我自己配的comodo ssl,c+的路过,后来套了个cf的壳变A了, 就那样了不管他了
作者: EasonYang    时间: 2016-12-11 15:33
HSTS开了没



欢迎光临 全球主机交流论坛 (https://hostloc.gdisk.cf/) Powered by Discuz! X3.4