网站部署SSL证书之后,并不是就可以高枕无忧了。比如,部分SSL证书在最新版的谷歌浏览器中就算提示“采用过时的加密套件进行加密”,这可急坏了很多站长,其实这只是谷歌浏览器的SSL加密套件升级了,我们需要根据套件的升级,改变香港服务器中的一些设置,可以增强HTTPS的安全性,这样就不会被谷歌浏览器认为是过时的加密套件了。 我们需要修改一些服务器的配置来符合谷歌浏览器的标准,符合SSLLabs评价A的标准(SSLLabs是一个SSL测试网站,可以测试网站站点的SSL证书安全评分)。 对于使用Apache服务器的用户,需要修改httpd-ssl.conf(Apache的配置文件),修改详情如下: SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLSessionTickets Off
Header always set Strict-Transport-Security "max-age=63072000;
includeSubdomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
通过修改以上参数,我们可以在评测中得到A的评价,谷歌浏览器中也不会再提示加密套件过期,可以使用户拥有更好的体验,对于以上参数,如果配置文件中有对应的,直接去掉前面的#号就可以,如果没有,请手动添加。 使用Nginx服务器的用户则应该修改一下代码: ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1; # Requires nginx >= 1.1.0
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off; # Requires nginx >= 1.5.9
ssl_stapling on; # Requires nginx >= 1.3.7
ssl_stapling_verify on; # Requires nginx => 1.3.7
resolver $DNS-IP-1 $DNS-IP-2 valid=300s;
resolver_timeout 5s;
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
而在IIS中,这就显得十分简单,不需要使用任何代码,直接可视化界面就可以了,具体步骤如下: 1、打开组策略对象编辑器(即在命令提示符下运行gpedit.msc)。 2、展开计算机配置,管理模板,网络,然后单击SSL配置设置。 3、在SSL配置设置下,打开SSL密码套餐订单设置。 4、设置复杂的密码。 经过一番折腾,我们的站点终于不会显示“采用过时的加密套件进行加密”,如果您使用其他服务器,同时又遇上了这样的麻烦,欢迎加SSLLA技术交流群592590819。
|