मैं www.ssllabs.comएसएसओ लैब्स परीक्षण पर सभी श्रेणियों पर 100 के साथ ए + को ए लेट एन्क्रिप्टेड और एनजिनक्स के साथ कैसे स्कोर करते हैं?
पर अपने एसएसएल कॉर्ट का परीक्षण करते समय सभी श्रेणियों पर 100 स्कोर करने का प्रयास कर रहा हूं, हालांकि, मैं सभी स्कोर पर ए + और 100 प्राप्त करने के लिए संघर्ष कर रहा हूं।
एनजीआईएनएक्स कॉन्फ़िगरेशन के लिए मुझे क्या सुझाव देना चाहिए? या मुझे अपने लेट एन्क्रिप्टेड कैर्ट कैसे उत्पन्न करना चाहिए? thx
ये निर्देश सभी कर्टों पर लागू होते हैं (लेट एन्क्रिप्टेड कॉर्ट सहित)। हालांकि, एक या दो चलो एन्क्रिप्ट करें विशिष्ट युक्तियां दी जाती हैं।
नीचे दी गई एनजीआईएनएक्स एसएसएल कॉन्फ़िगरेशन आपको निम्नलिखित एसएसएल लैब्स स्कोर देगा। आप चुन सकते हैं:
अनुशंसित
बिल्कुल सही लेकिन प्रतिबंधात्मक
NGINX SSL कॉन्फ़िगरेशन - इच्छित बिट्स निकालें। नोट स्पष्ट कैसे एक दिया nginx निर्देश से मेल नहीं खाता लैब्स स्कोर प्रभाव होगा:
# Your listen directive should be .. listen 443 ssl http2;
# gzip off; # gzip over ssl? really?
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
#################### ssllabs.com Protocol Support
ssl_protocols TLSv1.2 TLSv1.1 TLSv1; # Score=95 (recommended)
# ssl_protocols TLSv1.2; # Score=100
#################### ssllabs.com Key Exchange
# Score=90 (recommended)
ssl_dhparam /etc/letsencrypt/live/yourdomain.com/dhparam2048.pem; # openssl dhparam -out dhparam2048.pem 2048
ssl_ecdh_curve secp384r1; # optional
# Score=100 (must generate letsencrypt certs with flag --rsa-key-size 4096)
# ssl_dhparam /etc/letsencrypt/live/yourdomain.com/dhparam4096.pem; # openssl dhparam -out dhparam4096.pem 4096
# ssl_ecdh_curve secp384r1; # required
#################### ssllabs.com Cipher Strength - see https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations
ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:EC
DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES25
6-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS; # Score=90 (recommended)
# ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL; # Score=100
#################### ssllabs.com A+ - Enable HSTS on all subdomains
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
# add_header Strict-Transport-Security "max-age=0; includeSubDomains"; # Delete browser cached HSTS policy (i.e. turn HSTS off)
# THE PRELOAD DIRECTIVE WILL HAVE SEMI-PERMANENT CONSEQUENCE AND IS IRREVERSIBLE - DO NOT USE UNTIL FULLY TESTED AND YOU UNDERSTAND WHAT YOU ARE DOING!
# add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
#################### Other typical SSL settings that DO NOT effect the ssllabs.com score
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ध्यान दें, यदि आप केवल कुंजी एक्सचेंज पर 100 प्राप्त कर सकते हैं अपने:
संपादित
2048 अगले 40 वर्षों के लिए पर्याप्त सुरक्षा है। किसी ने कभी 1024 को तोड़ दिया है, अकेले 2048 को छोड़ दो!
openssl dhparam -dsaparam -out dhparam4096.pem 4096 ... बहुत तेज़ है कि एक घंटा (देखें -dsaparam ध्वज) लेकिन मुझे नहीं पता कि आपको इसका उपयोग करना चाहिए या नहीं ...एसएसएल लैब्स परीक्षण पर इसका परीक्षण नहीं किया है क्योंकि मैं 2048
प्रत्येक डोमेन के लिए धापरम उत्पन्न करने का कोई कारण है? मैंने मेजबान पर सब कुछ के लिए हमेशा एक ही धापरम का उपयोग किया है। यह सर्वर को स्थापित करने के लिए समय-महंगा बनाता है, लेकिन इसके तुरंत बाद। –