在Let's Encrypt和Nginx的SSL实验室testing中，你如何在所有类别上评分为100分？

概述在Let's Encrypt和Nginx的SSL实验室testing中，你如何在所有类别上评分为100分？

在www.ssllabs.com上testing我的SSL证书时，我试图在所有类别上得分100

但是，我正在努力争取A +和100分。

任何提示什么Nginxconfiguration我应该使用？ 或者我应该如何生成我们的encryption证书？ 谢谢

使用Microsoft Crypto API（windows证书存储）时如何隐藏和使用对话框

使用bash shell脚本encryption文件

我解密的密码是1个字符或短

C for linux中的公钥实现

我需要使用Nginx还是Apache来使用Lets Encrypt？

Nginx – “服务器”指令在这里是不允许的

如何注册一个内核模式的encryption提供者

我怎样才能逆向工程在windows应用程序中打乱的数据包？

我如何在linux上创build一个独立的encryption文件？

相当于CryptProtectMemory的linux

这些说明适用于所有证书（包括让我们加密证书）。 不过，我们给出一两个让我们加密的提示。

下面给出的Nginx SSL配置会给你以下的SSL实验室分数。 你选：

推荐的

A +

证书100/100

协议支持95/100

密钥交换90/100

密码强度90/100

完美但有限制

A +

证书100/100

协议支持100/100

密钥交换100/100

密码强度100/100

Nginx SSL配置 – 提取你想要的位。 这些说明阐明了一个给定的Nginx指令如何影响您的SSL实验室得分：

# Your Listen directive should be .. Listen 443 ssl http2; # gzip off; # gzip over ssl? really? ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem; #################### ssllabs.com Protocol Support ssl_protocols TLSv1.2 TLSv1.1 TLSv1; # score=95 (recommended) # ssl_protocols TLSv1.2; # score=100 #################### ssllabs.com Key Exchange # score=90 (recommended) ssl_dhparam /etc/letsencrypt/live/yourdomain.com/dhparam2048.pem; # openssl dhparam -out dhparam2048.pem 2048 ssl_ecdh_curve secp384r1; # optional # score=100 (must generate letsencrypt certs with flag --rsa-key-size 4096) # ssl_dhparam /etc/letsencrypt/live/yourdomain.com/dhparam4096.pem; # openssl dhparam -out dhparam4096.pem 4096 # ssl_ecdh_curve secp384r1; # required #################### ssllabs.com Cipher Strength - see https://wiki.mozilla.org/Security/server_SIDe_TLS#Recommended_configurations ssl_ciphers ECDHE-ECDSA-CHACHA20-poly1305:ECDHE-RSA-CHACHA20-poly1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:EC DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES25 6-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS; # score=90 (recommended) # ssl_ciphers AES256+EECDH:AES256+EDH:!aNulL; # score=100 #################### ssllabs.com A+ - Enable HSTS on all subdomains add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; # add_header Strict-Transport-Security "max-age=0; includeSubDomains"; # Delete browser cached HSTS policy (IE turn HSTS off) # THE PRELOAD DIRECTIVE WILL HAVE SEMI-PERMANENT CONSEQUENCE AND IS IRreversiBLE - DO NOT USE UNTIL FulLY TESTED AND YOU UNDERSTAND WHAT YOU ARE DOING! # add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always; #################### Other typical SSL settings that DO NOT effect the ssllabs.com score ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valID=300s; resolver_timeout 10s; add_header x-frame-options DENY; add_header X-Content-Type-Options nosniff;

请注意，如果您的以下情况只能在密钥交换中获得100：

证书RSA密钥大小为4096（用于让我们加密时使用–rsa-key-size 4096生成证书时，否则您卡在您的CA为您生成证书时使用的RSA密钥大小）和

dhparam是4096（openssl dhparam -out dhparam4096.pem 4096） – 这大约需要1个小时才能生成，对自动化解决方案没有用处

编辑

2048年是未来40年的足够安全。 没有人破解1024，更不用说2048了！

openssl dhparam -dsaparam -out dhparam4096.pem 4096 …更快一小时（请参阅-dsaparam标志），但我不知道你是否应该使用它…还没有测试它在SSL实验室测试以来我要2048

总结

以上是内存溢出为你收集整理的在Let's Encrypt和Nginx的SSL实验室testing中，你如何在所有类别上评分为100分？全部内容，希望文章能够帮你解决在Let's Encrypt和Nginx的SSL实验室testing中，你如何在所有类别上评分为100分？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。