Mozilla,就是出品 Firefox 的那家,发表了一个新的自助傻瓜工具, Mozilla SSL Configuration Generator。
可以根据不同的服务器配置,不同的软件版本,生成一个配置文件。
可以选择的参数有:
Web服务器: Apache,Nginx,HAProxy,AWS ELB。
Web服务器的版本,比如Apache就有 2.2.x 和 2.4.x的区别。
OpenSSL的版本。
是否支持HSTS。
以及三种配置,Modern,Intermediate,Old。
本站用的配置并没有参考它的,而是自己不断尝试并且改过的。
现在在SSL Server Test中的分数是A+。
此处略去相关代码,请查看桌面标准版文章。
证书文件的部分是一样的,就不写了,最重要的还是上面的几句,是关于加密算法和协议的。
上面的这个配置在Windows XP/IE6上是不支持的。
如果Apache的版本是在2.3.3以上的,还可以加上OCSP Stapling配置。用了OCSP Stapling可以减少一次客户对于CA的访问。