Настройка SSL для сайта и получение оценки A+

В предыдущих статьях я рассказывал как настроить SSL для Вашего сайта. В настоящее время появились сервисы которые предоставляют SSL-сертификат бесплатно на один год и даже такие6 которые автоматически его продлевают :) Это очень уобно, но об этом обязательно поговорим позже. В данном примере я опишу ситуацию, когда бесплатный сертификат уже получен, но при тестах выдает невысокую оценку (B). В данном примере используется веб-сервер Nginx, сами сертификаты хранятся в каталоге /etc/nginx/ssl Переходим в каталог /etc/nginx/ssl и генерируем ключ ключ Деффи-Хеллмана:
cd /etc/nginx/ssl
openssl dhparam -out dhparams.pem 2048; chmod 600 dhparams.pem
Редактируем файл конфигурации nginx, отвечающий за работу Вашего сайта. Важно отметить, что версия Nginx должна быть выше 1.3, иначе OCSP не включится и мы получим оценку (A-).
listen 80;
    listen 443 ssl;

    ssl_stapling on;
    ssl on;
    ssl_dhparam /etc/nginx/ssl/dhparams.pem;
    ssl_certificate     /etc/nginx/ssl/ssl.pem;
    ssl_certificate_key /etc/nginx/ssl/ssl.key;
    ssl_session_cache    shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;
    add_header Strict-Transport-Security "max-age=31536000;";
Получить A+ можно добавив следующие виды шифрования, однако в IE8, IE10 Mobile возникнут проблемы с сертификатом:
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !MEDIUM";
Сохраняем и применяем изменения! теперь можно проверить Вашу новую оценку SSL на сайте: https://www.ssllabs.com/ssltest/

Добавить комментарий