ssl.png
ssl.png

因为目前ssl要求比较迫切。很多朋友随便搜索一篇指引文章后就直接抄袭相关配置然后就配置配置出来的ssl虽然表面上看上去没有什么问题,但实际是不规范的。大家可以通过这个网址:https://www.ssllabs.com/ssltest/ 去检测下自己的ssl配置是否科学。

最近爬文发现一个nginx的ssl配置介绍(点击这里查看)感觉不错,按照这个文章指引配置的ssl,在ssl检测一般都能拿到A+这个水平。如果你有多个站点,建议将ssl配置部分做成ssl.conf放在nginx的global文件夹中作为引用文件,真的十分实用。本人的ssl.conf示例如下,大家可以参考下:

    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE:!kEDH;
    ssl_prefer_server_ciphers on;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /usr/local/nginx/startssl_trust_chain.crt;
    add_header Strict-Transport-Security "max-age=31536000";
    resolver 8.8.8.8 8.8.4.4;

-EOF-