如何优化才能在 Qualys SSL Labs 的测试里拿到 A+ 呢？

https://www.ssllabs.com/ssltest/

很好奇两个问题：

- 有 A+ 这个等级么？
- 有比 A+ 更高的等级么，如果四项全部 100 的话有可能可以拿到 S 级？

Tianpu

2015-03-06 03:33:55 +08:00

基本配置+ocsp+hsts就是A+

全部100没什么意义，要牺牲很多兼容性

http://blog.ricardomacas.com/index.php?controller=post&action=view&id_post=2

futursolo

2015-03-06 07:13:12 +08:00

有办法，只是要牺牲IE6和Android 2.3

futursolo

2015-03-06 07:14:37 +08:00

将Nginx和OpenSSL更新到最新并使用以下配置就可以达到A+。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers CHACHA20:AES128:AES256:GCM:!DH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS;
add_header Strict-Transport-Security max-age=31536000;
ssl_prefer_server_ciphers on;

liuchen9586

2015-03-06 07:31:48 +08:00

用SHA256证书（注意补全中间链），开启长HSTS（Nginx可以做到），SSL方式选TLS 1.0 / 1.1 / 1.2 即可。

ls25145

2015-03-06 08:52:14 +08:00

我说怎么地址栏里原来的三角感叹号变成锁了呢

blahgeek

2015-03-08 10:15:06 +08:00

那个网站本身也只有A+... https://www.ssllabs.com/ssltest/analyze.html?d=ssllabs.com

xiaozhizhu1997

2015-03-10 20:54:12 +08:00

关键就是忽略掉SSL3.0，不过会间接放弃对IE6及更低版本的支持
事实证明SSL3.0真的不安全了

webiis

2015-03-17 17:51:28 +08:00

有A - 的等级，v2 都是A不错，我用 wosign.ssllabs.com 检查的，貌似这个检查会快些。v2ex 上的5年期的证书会不会被吊销？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/174820

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.