鸟枪换炮之Wildcard SSL

今天ssl.so有5年期通配符SSL证书优惠,我早早地生成了CSR,活动一开始立刻出手25.99人民币抢到了一枚。像这种wildcard ssl证书,平时即使最最便宜的5年也得3、4百块钱吧,像StartSSL这种便宜货也要几百美元一年,真是抢钱啊。一般个人博客弄通配符也就是图个方便,花大价钱的话实在吃不消,所以这次真是抢到干货了。

之前已经将博客配置为SSL Only,不过用的是startssl的免费版单域名证书,这次换成通配符证书,顿时感觉高大上了。nginx的配置也如下做了些更新,主要更新了可用加密方式列表(前段时间已经禁用了SSLv3)以及加入OCSP Stapling功能。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/conf/root_CA_cert_plus_intermediates.crt;
resolver 8.8.8.8;

SSL Lab的评分A+:
ssl_rating_alphassl
这个也仅供参考,其实可以很轻易全部得到100分,但是那样的话浏览器兼容性就很差,要做好安全和可用性之间的平衡。

还没有评论,快来抢沙发!

发表评论

  • 😉
  • 😐
  • 😡
  • 😈
  • 🙂
  • 😯
  • 🙁
  • 🙄
  • 😛
  • 😳
  • 😮
  • emoji-mrgree
  • 😆
  • 💡
  • 😀
  • 👿
  • 😥
  • 😎
  • ➡
  • 😕
  • ❓
  • ❗
  • 68 queries in 0.375 seconds