SSL сертификат и A+ по тестам ssllabs.com
Рано или поздно перед любым владельцем сайта встает вопрос настройки HTTPS доступа.
Для этого необходимо купить или получить бесплатный сертификат от WoSign и настроить его в веб сервере сайта, ниже укажу пример конфигурации для Nginx.
Конфигурация SSL:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
ssl on; # SSLv3 и v2 нас не интересуют. ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2; # Указываем свои ssl_certificate /etc/nginx/ssl/bundle.crt; ssl_certificate_key /etc/nginx/ssl/key.key; # Создаем командой openssl dhparam -out dhparam.pem 4096 ssl_dhparam /etc/nginx/ssl/dhparam.pem; ssl_session_cache shared:SSL:10m; ssl_session_timeout 24h; ssl_prefer_server_ciphers on; # Включаем OCSP, версия nginx должна быть не ниже 1.3.7. # При проверке OCSP включается не сразу, а через 1-2 https запроса. ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 ipv6=off valid=300s; resolver_timeout 5s; # Это bundl файл с CA Chain сертификатами, подойдет тот что указан в ssl_certificate, # но без 1-го сертификата ssl_trusted_certificate /etc/nginx/ssl/ca_ocsp.crt; # Включаем HSTS, после этого скорее всего сайт получит A+ и браузеры всегда будут переходить на https, # даже если доступен http add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; |
Проверить корректность внесенных изменений можно на ssllabs.com, пример для этого сайта.
comments powered by HyperComments
