升级新型SSL加密套件，增强HTTPS安全性（防止被Chrome识别为过时的加密套件）

你是否在最近更新版本的Chrome中，发现Chrome除了把HTTPS标识做的更炫以外，增加了对SSL加密套件的说明？

点击小绿锁，连接选项卡中，写出了本次SSL证书颁发者、加密方式、密钥交换方式等信息。

下方有几行：

您与此网站建立的是私密连接。

该网站身份通过了xxxx。。。

您与 server.tutugreen.com 之间的连接采用了新型加密套件进行了加密。

该连接使用 TLS 1.2。

该连接使用 AES_128_GCM 进行加密和身份验证，并使用 ECDHE_RSA 作为密钥交换机制。

如果你的网站是像上面这样显示的，那么恭喜，您的站点HTTPS设置很恰当。

当然，大部分小站（还有相当一部分大型站点）都不是这样显示的（其实这并不重要233）。。

而是这样显示的：

您与此网站建立的是私密连接。

您与 mc.tutugreen.com 之间的连接采用过时的加密套件进行了加密。

该连接。。。。。。

配置前截图（旧）↑

甚至还有这样显示的：

此网站使用了安全系数较低的安全配置（SHA-1签名），因此您的连接可能不具有私密性。

然后头顶一个红叉锁（其实这是证书的问题。。）

然而谷歌、赛门铁克、Cloudflare这些注重安全的企业，早已指定“新型？”加密套件。虽然我也不知道被判定为新型的有哪些（只见过AES_128_GCM嘛。。）。。

本来不感觉的，被Chrome说后一阵不爽，决定换成新的。

本篇就是教你指定“新型”加密套件，符合Chrome的要求，符合SSL Labs（←第一次听说。。）评价“A”的标准。

经过半天谷歌+度娘。

找到的资料如下：

https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html

翻译（中文版）：http://www.oschina.net/translate/strong_ssl_security_on_nginx

这里面已经很清晰的说明了，应该做什么。

你可以在这个网站（https://www.ssllabs.com/ssltest/analyze.html）测试你自己站点的SSL安全评分报告，仅供参考。

（话说看到有站点评分居然是F的，甚至T的，仔细一看，支持一堆符合漏洞攻击标准的协议，自己生成的SSL证书（直接扣到0分了;p），弱加密方式，醉了。。）

这是我自己站点的测试报告：https://www.ssllabs.com/ssltest/analyze.html?d=server.tutugreen.com&latest

生成报告可能要10分钟左右。

好了不废话了，强行入正片。

使用Apache的用户，请在httpd-ssl.conf(关于ssl的配置文件)中。

修改/添加以下参数（如果有，去掉注释用的#号，直接改，没有的手动添加）：


SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLSessionTickets Off

说明：第一行为SSL套件方式，前面的优先，后面的做兼容（如果你想让Chrome识别为新型，只需要改这个就行）。

按照原文档说明，还建议添加


Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache &amp;amp;gt;= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

我就不添加了233，你们有需要的研究研究。

这样修改完毕后，你可以在上面的评测中得到“A”的评价、在Chrome中，评为新型加密方式（~~然而并没有什么卵用，Google抓取的时候并不会查你的安全性~~）能得到访客更多的信任，顺便装个B←这才是重点吧喂2333。

如果你还做了后面的设置，包括HSTS，那么你可以获得A+的评价。

就像Ta一样（~~然并卵~~）。

好了，就是那么Easy。

当然，首先你需要有一个有效的证书，像这样的↓。

附录（报告测试截图）：

PS：这个标题包含了我对度娘SE/O满满的诚意233，请不要在意细节。

PPS：2015-⑨-⑨，修复一不小心看到的几个错别字√

PPPS：10-7，再次修复几个错别字。

百度已收录

查看评论 - 14 条评论

Comments | 14 条评论

tutugreen 博主

回复

发布于 2015-10-01 08:30 ( unknow unknow )

@某SSL，转载请注明出处。
BT吧-BTBA 博主

回复

发布于 2016-04-13 08:22 ( unknow unknow )

哈哈哈，好的！
balabala 博主

回复

发布于 2016-04-25 01:51 ( unknow unknow )

我就想问，博主是男是女。。。
- tutugreen 博主
  
  回复
  
  发布于 2016-05-03 11:33 ( unknow unknow )
  
  @balabala
  你猜w
- ass 博主
  
  回复
  
  发布于 2016-05-06 07:00 ( unknow unknow )
  
  @balabala
  这么可爱的孩子，一定是个男的
东莞渣渣博主

回复

发布于 2018-03-31 14:02 ( Google Chrome 55.0.2883.87 Windows 7 )

我是iis6下的ssl，请问ssl配置套件哪里设置呀
- tutugreen 博主
  
  回复
  
  发布于 2018-03-31 14:17 ( Google Chrome 65.0.3325.181 Windows 8.1 )
  
  @东莞渣渣
  没有实际试过IIS，不过稍微了解了下IIS应该是通过组策略设置。
  
  计算机配置->管理模板->网络->SSL 配置设置->SSL 密码套件顺序
  
  注意对版本有要求，最低需要 Windows Vista (Windows Server 2008)。IIS6可能不行。
天高云淡博主

回复

发布于 2018-05-02 16:06 ( Google Chrome 63.0.3239.132 Windows 10 )

你好，可以帮我吗？总是出现这个，重装系统也没用。您与 guang.taobao.com 之间的连接采用新型加密套件进行了加密
- tutugreen 博主
  
  回复
  
  发布于 2018-05-03 00:12 ( Google Chrome 66.0.3359.126 Android 7.0 )
  
  @天高云淡
  Hi，出现这个提示是正常的！
  如果提示是新型的话。
  
  即使要修改也是要服务器端修改，不是客户端能完成滴(´・ω・`)
天高云淡博主

回复

发布于 2018-05-02 16:07 ( Google Chrome 63.0.3239.132 Windows 10 )

希望可以远程帮我解决一下，谢谢，【邮箱地址已被隐藏】
卡西多博主

回复

发布于 2019-03-26 03:03 ( Google Chrome 71.0.3578.99 Windows 7 )

哎呦，如果是nginx的环境呢，改哪里？我只有第一个是绿锁子，第二个直接就是黄色警号了。
chuchenhb 博主

回复

发布于 2020-07-22 10:18 ( Google Chrome 78.0.3904.108 Windows 10 )

请问 IIS 可以设置吗
- tutugreen 博主
  
  回复
  
  发布于 2020-09-09 12:51 ( Google Chrome 85.0.4183.83 Windows 10 )
  
  @chuchenhb
  可以的，在组策略设置。
小七博主

回复

发布于 2020-10-21 03:52 ( Google Chrome 84.0.4147.135 Windows 10 )

该评论为私密评论

丫明の博客

升级新型SSL加密套件，增强HTTPS安全性（防止被Chrome识别为过时的加密套件）

在Android上浏览在线Flash

[转]如何写PAC(代理自动配置脚本)文件

tutugreen

Comments | 14 条评论

tutugreen 博主

BT吧-BTBA 博主

balabala 博主

tutugreen 博主

ass 博主

东莞渣渣博主

tutugreen 博主

天高云淡博主

tutugreen 博主

天高云淡博主

卡西多博主

chuchenhb 博主

tutugreen 博主

小七博主

Cancel Reply

丫明の博客