本文分享了如何将网站HTTPS安全评级从B提升至A+的详细步骤。首先,通过生成并配置4096位的ssl-dhparams.pem文件,解决了服务器支持弱DH密钥交换参数的问题;其次,通过在nginx配置中启用HSTS(HTTP Strict Transport Security),确保了浏览器始终连接到HTTPS加密版本的网站。文章详细介绍了操作过程及背后的安全原理。
背景
MySSL 提供了免费的网站 HTTPS 安全评级服务,然后我用我的网站 https://hellogithub.com,测试了一下。发现安全评级为 B,最高为 A+。下面是记录我的网站从 B 升到 A+ 的操作和设置。
tips: 我的网站免费 SSL/TLS 证书是这家的 Let's Encrypt
一、B 升 A
1.1 现状
评分提示:服务器支持弱 DH 密钥交换参数,降级为 B
1.2 原因
前向安全性 Forward Secrecy 的概念很简单:客户端和服务器协商一个永不重用的密钥,并在会话结束时销毁它。服务器上的 RSA 私钥用于客户端和服务器之间的 Diffie-Hellman 密钥交换签名。从 Diffie-Hellman 握手中获取的预主密钥会用于之后的编码。因为预主密钥是特定于客户端和服务器之间建立的某个连接,并且只用在一个限定的时间内,所以称作短暂模式 Ephemeral。
使用了前向安全性,如果一个攻击者取得了一个服务器的私钥,他是不能解码之前的通讯信息的。这个私钥仅用于 Diffie Hellman 握手签名,并不会泄露预主密钥。Diffie Hellman 算法会确保预主密钥绝不会离开客户端和服务器,而且不能被中间人攻击所拦截。
所有版本的 nginx(如1.4.4)都依赖于 OpenSSL 给 Diffie-Hellman (DH)的输入参数。不幸的是,这意味着 Diffie-Hellman Ephemeral(DHE)将使用 OpenSSL 的默认设置,包括一个用于密钥交换的1024位密钥。因为我们正在使用2048位证书,DHE 客户端就会使用一个要比非 DHE 客户端更弱的密钥交换。
MySSL 提示的因为:现在用的 DHE 参数小于 1024 位数。
1.3 解决办法
/etc/letsencrypt目录下查看是否有:ssl-dhparams.pem文件- 如果有则直接设置 nginx 配置:
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
如果没有,则需要自己生成,生成后配置 nginx 注意路径:
cd /etc/ssl/certs
openssl dhparam -out dhparam.pem 4096tips:生成该参数十分消耗 CPU 资源,在线上服务执行一定要注意!
1.4 结果
二、A 升 A+
2.1 现状
评分提示:开启HSTS后能够提升到A+,具体参考《XXXXX》
2.2 原因
HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。
MySSL 提示的因为:需要在开启 HSTS,保证浏览器连接该网站始终为 HTTPS 加密版本。
2.3 解决办法
修改 nginx 配置:
server {
server_name hellogithub.com www.hellogithub.com;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
.....
}2.4 结果
扫一扫
3000
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
