Настройка SSL для сайта и получение оценки A+

В предыдущих статьях я рассказывал как настроить SSL для Вашего сайта. В настоящее время появились сервисы которые предоставляют SSL-сертификат бесплатно на один год и даже такие6 которые автоматически его продлевают :) Это очень уобно, но об этом обязательно поговорим позже. В данном примере я опишу ситуацию, когда бесплатный сертификат уже получен, но при тестах выдает невысокую оценку (B).

В данном примере используется веб-сервер Nginx, сами сертификаты хранятся в каталоге /etc/nginx/ssl
Переходим в каталог /etc/nginx/ssl и генерируем ключ ключ Деффи-Хеллмана:

cd /etc/nginx/ssl
openssl dhparam -out dhparams.pem 2048; chmod 600 dhparams.pem

Редактируем файл конфигурации nginx, отвечающий за работу Вашего сайта. Важно отметить, что версия Nginx должна быть выше 1.3, иначе OCSP не включится и мы получим оценку (A-).

listen 80;
    listen 443 ssl;

    ssl_stapling on;
    ssl on;
    ssl_dhparam /etc/nginx/ssl/dhparams.pem;
    ssl_certificate     /etc/nginx/ssl/ssl.pem;
    ssl_certificate_key /etc/nginx/ssl/ssl.key;
    ssl_session_cache    shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;
    add_header Strict-Transport-Security "max-age=31536000;";

Получить A+ можно добавив следующие виды шифрования, однако в IE8, IE10 Mobile возникнут проблемы с сертификатом:

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !MEDIUM";

Сохраняем и применяем изменения!
теперь можно проверить Вашу новую оценку SSL на сайте: https://www.ssllabs.com/ssltest/

Related posts:

  1. Nginx: принудительное кэширование сайта Резкие всплески посещаемости всегда дают о себе знать высокой нагрузкой,...
  2. Nginx: просмотр директорий сайта Иногда необходимо разрешить просмотр каталогов вашего сайта, в nginx для...
  3. Nginx защита от DDoS атак При несложных атаках, можно защититься средствами сервера, в некоторых случаях...
  4. Nginx защита от DDoS атак – продолжение Обычно атака ботов происходит на любой участок сайта, обычно это...
  5. Передача HTTPS приложению в связке Nginx Apache Иногда при работе по защищенному HTTPS-соединению, приложение не может определить...
You can leave a response, or trackback from your own site.

Оставить комментарий

*