在www.ssllabs.com上testing我的SSL证书时,我试图在所有类别上得分100
但是,我正在努力争取A +和100分。
任何提示什么Nginxconfiguration我应该使用? 或者我应该如何生成我们的encryption证书? 谢谢
使用Microsoft Crypto API(windows证书存储)时如何隐藏和使用对话框
使用bash shell脚本encryption文件
我解密的密码是1个字符或短
C for linux中的公钥实现
我需要使用Nginx还是Apache来使用Lets Encrypt?
Nginx – “服务器”指令在这里是不允许的
如何注册一个内核模式的encryption提供者
我怎样才能逆向工程在windows应用程序中打乱的数据包?
我如何在linux上创build一个独立的encryption文件?
相当于CryptProtectMemory的linux
这些说明适用于所有证书(包括让我们加密证书)。 不过,我们给出一两个让我们加密的提示。
下面给出的Nginx SSL配置会给你以下的SSL实验室分数。 你选:
推荐的
A +
证书100/100
协议支持95/100
密钥交换90/100
密码强度90/100
完美但有限制
A +
证书100/100
协议支持100/100
密钥交换100/100
密码强度100/100
Nginx SSL配置 – 提取你想要的位。 这些说明阐明了一个给定的Nginx指令如何影响您的SSL实验室得分:
# Your Listen directive should be .. Listen 443 ssl http2; # gzip off; # gzip over ssl? really? ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem; #################### ssllabs.com Protocol Support ssl_protocols TLSv1.2 TLSv1.1 TLSv1; # score=95 (recommended) # ssl_protocols TLSv1.2; # score=100 #################### ssllabs.com Key Exchange # score=90 (recommended) ssl_dhparam /etc/letsencrypt/live/yourdomain.com/dhparam2048.pem; # openssl dhparam -out dhparam2048.pem 2048 ssl_ecdh_curve secp384r1; # optional # score=100 (must generate letsencrypt certs with flag --rsa-key-size 4096) # ssl_dhparam /etc/letsencrypt/live/yourdomain.com/dhparam4096.pem; # openssl dhparam -out dhparam4096.pem 4096 # ssl_ecdh_curve secp384r1; # required #################### ssllabs.com Cipher Strength - see https://wiki.mozilla.org/Security/server_SIDe_TLS#Recommended_configurations ssl_ciphers ECDHE-ECDSA-CHACHA20-poly1305:ECDHE-RSA-CHACHA20-poly1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:EC DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES25 6-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS; # score=90 (recommended) # ssl_ciphers AES256+EECDH:AES256+EDH:!aNulL; # score=100 #################### ssllabs.com A+ - Enable HSTS on all subdomains add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; # add_header Strict-Transport-Security "max-age=0; includeSubDomains"; # Delete browser cached HSTS policy (IE turn HSTS off) # THE PRELOAD DIRECTIVE WILL HAVE SEMI-PERMANENT CONSEQUENCE AND IS IRreversiBLE - DO NOT USE UNTIL FulLY TESTED AND YOU UNDERSTAND WHAT YOU ARE DOING! # add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always; #################### Other typical SSL settings that DO NOT effect the ssllabs.com score ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valID=300s; resolver_timeout 10s; add_header x-frame-options DENY; add_header X-Content-Type-Options nosniff;
请注意,如果您的以下情况只能在密钥交换中获得100:
证书RSA密钥大小为4096(用于让我们加密时使用–rsa-key-size 4096生成证书时,否则您卡在您的CA为您生成证书时使用的RSA密钥大小)和
dhparam是4096(openssl dhparam -out dhparam4096.pem 4096) – 这大约需要1个小时才能生成,对自动化解决方案没有用处
编辑
2048年是未来40年的足够安全。 没有人破解1024,更不用说2048了!
openssl dhparam -dsaparam -out dhparam4096.pem 4096 …更快一小时(请参阅-dsaparam标志),但我不知道你是否应该使用它…还没有测试它在SSL实验室测试以来我要2048
总结以上是内存溢出为你收集整理的在Let's Encrypt和Nginx的SSL实验室testing中,你如何在所有类别上评分为100分?全部内容,希望文章能够帮你解决在Let's Encrypt和Nginx的SSL实验室testing中,你如何在所有类别上评分为100分?所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)