如何优化才能在 Qualys SSL Labs 的测试里拿到 A+ 呢?

2015-03-06 03:17:37 +08:00
 Livid
https://www.ssllabs.com/ssltest/

很好奇两个问题:

- 有 A+ 这个等级么?
- 有比 A+ 更高的等级么,如果四项全部 100 的话有可能可以拿到 S 级?
5222 次点击
所在节点    SSL
11 条回复
Tianpu
2015-03-06 03:33:55 +08:00
基本配置+ocsp+hsts就是A+

全部100没什么意义,要牺牲很多兼容性

http://blog.ricardomacas.com/index.php?controller=post&action=view&id_post=2
zhttty
2015-03-06 03:33:56 +08:00
imlonghao
2015-03-06 05:46:25 +08:00
esd.cc A+
长HSTS.
futursolo
2015-03-06 07:13:12 +08:00
有办法,只是要牺牲IE6和Android 2.3
futursolo
2015-03-06 07:14:37 +08:00
将Nginx和OpenSSL更新到最新并使用以下配置就可以达到A+。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers CHACHA20:AES128:AES256:GCM:!DH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS;
add_header Strict-Transport-Security max-age=31536000;
ssl_prefer_server_ciphers on;
liuchen9586
2015-03-06 07:31:48 +08:00
用SHA256证书(注意补全中间链),开启长HSTS(Nginx可以做到),SSL方式选TLS 1.0 / 1.1 / 1.2 即可。
vibbow
2015-03-06 08:47:30 +08:00
ls25145
2015-03-06 08:52:14 +08:00
我说怎么地址栏里原来的三角感叹号变成锁了呢
blahgeek
2015-03-08 10:15:06 +08:00
xiaozhizhu1997
2015-03-10 20:54:12 +08:00
关键就是忽略掉SSL3.0,不过会间接放弃对IE6及更低版本的支持
事实证明SSL3.0真的不安全了
webiis
2015-03-17 17:51:28 +08:00
有A - 的等级,v2 都是A不错 ,我用 wosign.ssllabs.com 检查的,貌似这个检查会快些。v2ex 上的5年期的证书会不会被吊销?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/174820

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX