你是否在最近更新版本的Chrome中,发现Chrome除了把HTTPS标识做的更炫以外,增加了对SSL加密套件的说明?

点击小绿锁,连接选项卡中,写出了本次SSL证书颁发者、加密方式、密钥交换方式等信息。

下方有几行:

您与此网站建立的是私密连接。

该网站身份通过了xxxx。。。

您与 server.tutugreen.com 之间的连接采用了新型加密套件进行了加密。

该连接使用 TLS 1.2。

该连接使用 AES_128_GCM 进行加密和身份验证,并使用 ECDHE_RSA 作为密钥交换机制。

如果你的网站是像上面这样显示的,那么恭喜,您的站点HTTPS设置很恰当。

2015-08-26-SSL升级-server.tutugreen.com-new

当然,大部分小站(还有相当一部分大型站点)都不是这样显示的(其实这并不重要233)。。

而是这样显示的:

您与此网站建立的是私密连接。

您与 mc.tutugreen.com 之间的连接采用过时的加密套件进行了加密。

该连接。。。。。。

2015-08-26-SSL升级-mc.tutugreen.com-old

2015-08-26-SSL升级-server.tutugreen.com-old

配置前截图(旧)↑

 

甚至还有这样显示的:

此网站使用了安全系数较低的安全配置(SHA-1签名),因此您的连接可能不具有私密性。

2015-08-26-SSL升级-sina

然后头顶一个红叉锁(其实这是证书的问题。。)

然而谷歌、赛门铁克、Cloudflare这些注重安全的企业,早已指定“新型?”加密套件。虽然我也不知道被判定为新型的有哪些(只见过AES_128_GCM嘛。。)。。

2015-08-26-SSL升级-google.com-new

2015-08-26-SSL升级-norton.com-new

2015-08-26-SSL升级-symantec.com-new

 

2015-08-26-SSL升级-cloudflare.com-new

 

2015-08-26-SSL升级-www.baidu.com-new

本来不感觉的,被Chrome说后一阵不爽,决定换成新的。

本篇就是教你指定“新型”加密套件,符合Chrome的要求,符合SSL Labs(←第一次听说。。)评价“A”的标准。

经过半天谷歌+度娘。

找到的资料如下:

https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html

翻译(中文版):http://www.oschina.net/translate/strong_ssl_security_on_nginx

这里面已经很清晰的说明了,应该做什么。

你可以在这个网站https://www.ssllabs.com/ssltest/analyze.html)测试你自己站点的SSL安全评分报告,仅供参考。

(话说看到有站点评分居然是F的,甚至T的,仔细一看,支持一堆符合漏洞攻击标准的协议,自己生成的SSL证书(直接扣到0分了;p),弱加密方式,醉了。。)

这是我自己站点的测试报告:https://www.ssllabs.com/ssltest/analyze.html?d=server.tutugreen.com&latest

2015-08-26-SSL升级-testing

生成报告可能要10分钟左右。

 

好了不废话了,强行入正片。

使用Apache的用户,请在httpd-ssl.conf(关于ssl的配置文件)中。

修改/添加以下参数(如果有,去掉注释用的#号,直接改,没有的手动添加):

2015-08-26-SSL升级-edit


SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLSessionTickets Off

说明:第一行为SSL套件方式,前面的优先,后面的做兼容(如果你想让Chrome识别为新型,只需要改这个就行)。

按照原文档说明,还建议添加


Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

我就不添加了233,你们有需要的研究研究。

2015-08-26-SSL升级-view

2015-08-26-SSL升级-server.tutugreen.com-new

这样修改完毕后,你可以在上面的评测中得到“A”的评价、在Chrome中,评为新型加密方式(然而并没有什么卵用,Google抓取的时候并不会查你的安全性)能得到访客更多的信任,顺便装个B←这才是重点吧喂2333。

如果你还做了后面的设置,包括HSTS,那么你可以获得A+的评价。

就像Ta一样(然并卵)。

好了,就是那么Easy。

当然,首先你需要有一个有效的证书,像这样的↓。

2015-08-26-SSL升级-ssl

 

附录(报告测试截图):

2015-08-26-SSL升级-report

PS:这个标题包含了我对度娘SE/O满满的诚意233,请不要在意细节。

PPS:2015-⑨-⑨,修复一不小心看到的几个错别字√

PPPS:10-7,再次修复几个错别字。


眼里有远方,心中有阳光,脚下有力量