SSL配置生成器

Mozilla,就是出品 Firefox 的那家,发表了一个新的自助傻瓜工具, Mozilla SSL Configuration Generator。

可以根据不同的服务器配置,不同的软件版本,生成一个配置文件。

可以选择的参数有:
Web服务器: Apache,Nginx,HAProxy,AWS ELB。
Web服务器的版本,比如Apache就有 2.2.x 和 2.4.x的区别。
OpenSSL的版本。
是否支持HSTS。
以及三种配置,Modern,Intermediate,Old。

ssl-config-generator.jpg

本站用的配置并没有参考它的,而是自己不断尝试并且改过的。

现在在SSL Server Test中的分数是A+。

ssllab-report.jpg我的配置是这样写的。

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

证书文件的部分是一样的,就不写了,最重要的还是上面的几句,是关于加密算法和协议的。

上面的这个配置在Windows XP/IE6上是不支持的。

如果Apache的版本是在2.3.3以上的,还可以加上OCSP Stapling配置。用了OCSP Stapling可以减少一次客户对于CA的访问。

最后附上链接 Mozilla SSL Configuration Generator


作者: David Yin
原载: SEO 网站优化推广
版权所有。转载时必须以链接形式注明作者和及本声明。