by Devin Yang

建立於: 5年前 ( 更新: 5年前 )

本文介紹如何調整nginx的ssl設定,讓網站取得SSL報告,取得A+的評比。
這裡我使用的為 letsencrypt 免費憑證。
只要您使用D-Laravel預設的Docker官方nginx新版image,
應該都可以達到跟我一樣的效果。

下方為SSL檢測網址,可用來檢測您主機上的SSL設定:
https://www.ssllabs.com/ssltest/index.html

有圖有真相,先來看看我的結果吧..:),在Nginx上設定非常簡單哦。
ssl a plus rating

以下是我使用在D-Laravel中的ssl完整設定檔,您可以下載參考及自行調整:
完整設定檔ccc-ssl.conf

主要包含了如下的設定:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
ssl_certificate /etc/nginx/conf.d/ssl/fullchain.pem;
ssl_certificate_key /etc/nginx/conf.d/ssl/privkey.pem;
ssl_ciphers  EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:EDH+aRSA:HIGH:!aNULL:!eNULL:!LOW:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!SEED:!DSS:!CAMELLIA;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/nginx/conf.d/ssl/dhp-512.pem;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/conf.d/ssl/chain.pem;

此外,我生成一組512位的 diffie-hellman (迪菲-赫爾曼密鑰交換)參數,以提高某些類型的密碼的安全性。
例如:(4096會花很長的一段時間,您可以使用2048或是我使用512。)

您可以在終端機使用 openssl 指令,產生該檔案
openssl dhparam -out dhp-2048.pem 2048

 

Tags: nginx dlaravel

Devin Yang

文章內容無法一一說明,如果您有什麼不了解處,歡迎提問哦:)

No Comment

Post your comment

需要登入才可留言!

類似的文章


dlaravel

哈,我成功讓D-Larave在樹莓派ARM的環境執行囉

這次買樹莓派是覺的這個東西很好玩,另外就是我家中的Mac環境太新了,無法正常編譯Line Simple Beacon, 透過樹莓派,輕鬆易用,環境上也不會有什麼問題,當然還有更多更多的運用。 但身為D-Laravel的作者,當然要來順便試試看.....

dlaravel

D-Laravel的sublime外掛以可由Package Control安裝囉。

Mac或Linux的使用者,現在可由Sublime3的package control進行D-Laravel alias的套件安裝囉。 透過D-Laravel alias,我們可以使用更輕鬆的方式,執行容器內的artisan及composer指令。 docker的環境,要用composer安裝套件嗎,不需再進入container內,或是設定composer的ce別名,即可在sublime中直接執行。

php,docker,dlaravel

我建立的phpenv容器環境簡單介紹

沒時間拍介紹影片,我就來隨便抓些畫面介紹我使用的容器環境deviny/phpenv。https://github.com/DevinY/phpenvphpenv算是我之前D-Laravel開源專案的進化版本,概念上延用了很多Dlaravel的操作方式。容器的更新上偏向使用者自行控制去Build自己的image,所以我不太會去更動版號了,其實D-Laravel的php版號,好像我也很久沒動啦:p