大佬们，能不能指教一下有关https的配置问题

flyfish

1.   listen 443 ssl;
   
2.          ssl on;
   
3.          ssl_certificate /home/wwwroot/xxx.pem;
   
4.          ssl_certificate_key /home/wwwroot/xxx.key;
   
5.          ssl_session_timeout 5m;
   
6.          ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
   
7.         #ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
   
8.          ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+    3DES:!MD5;
   
9.         ssl_prefer_server_ciphers on;
   

复制代码

#的是阿里云给的，ssllabs测试能得A-
下面的那个是CF的，ssllabs得A，但是什么东西都没有说。
111.jpg (37.24 KB, 下载次数: 0)

2016-12-11 14:05 上传

点击文件名下载附件

想弄个A+呀，求指导。

阿威

测试中 alphassl 野卡
QQ截图20161211141845.png (27.49 KB, 下载次数: 0)

2016-12-11 14:17 上传

点击文件名下载附件

The server does not support Forward Secrecy with the reference browsers. Grade reduced to A-.  MORE INFO »
This site works only in browsers with SNI support.

你的站提示上面的哪个，第二个好像说明装SSL的服务器存在其他的域名，只能在支持SNI的浏览器下绿

PS：这个不用纠结，多终端能绿就行，现在没多少人用IE7以下的浏览器了

egoate

https://mozilla.github.io/server-side-tls/ssl-config-generator/

flyfish

egoate 发表于 2016-12-11 14:15
https://mozilla.github.io/server-side-tls/ssl-config-generator/

照火狐那个弄成B了，是我姿势不对么？
222.jpg (47.38 KB, 下载次数: 0)

2016-12-11 14:37 上传

点击文件名下载附件

flyfish

阿威 发表于 2016-12-11 14:14
测试中 alphassl 野卡

能弄成A+么亲？

阿威

flyfish 发表于 2016-12-11 14:38
能弄成A+么亲？

陪你研究，你先看看样站对比
A+:https://www.ssllabs.com/ssltest/analyze.html?d=youbeen.com
A :https://www.ssllabs.com/ssltest/analyze.html?d=swiftiphonerepair.co.uk&s=104.27.159.138

egoate

flyfish 发表于 2016-12-11 14:37
照火狐那个弄成B了，是我姿势不对么？

Nginx和Openssl版本选错了。

Nginx -V

zhou0911

你是**座的呀， 有强迫症？非要A+

阿威

flyfish 发表于 2016-12-11 14:38
能弄成A+么亲？

The server does not support Forward Secrecy with the reference browsers. Grade reduced to A-.  MORE INFO »
This site works only in browsers with SNI support.

你的站提示上面的哪个，第二个好像说明装SSL的服务器存在其他的域名，只能在支持SNI的浏览器下绿

PS：这个不用纠结，多终端能绿就行，现在没多少人用IE7以下的浏览器了