我们一般给网站项目安装SSL证书是如何安装部署的?直接WEB环境自带的部署实现HTTPS。相信大部分人肯定是有这样的部署方式的,包括我也是这样子的。实际上,我们部署之后,虽然看到的是绿锁,但是根据SSL的评分工具可能你看到的并非是A+评分,而是B或者是B+。
主要原因是默认的一些工具自动安装SSL还是采用的是TLS 1.1,而如今应该是使用TLS 1.3,所以我们需要重新手动配置TLS 1.3,删除TLS 1.1实现。我们一起来完成看看吧。我们有些朋友是不是发现早期网站安装HTTPS速度是不是有感觉到慢,但是TLS 1.3的时候速度已经比以前快很多和不安装HTTPS差不多。
这里,直接用宝塔面板做示范。
我们需要到当前站点的配置文件中检查SSL。 ssl_protocols 这个参数中是否有1.3,默认如今是已经有的。我们也可以将1.1删除掉。如果没有的话,需要在最后加上TLSv1.3。
开启之后,我们去测试看看。
果不其然,不测不知道,一测试是不是看到我们的SSL评分才B级,是不是已经感觉需要修改。有人要说,这个B级别和A级别对网站有没有多大的影响呢?对于HTTPS实现方式没有影响,但是如果能调优到A+,那肯定在速度和性能上比B强。
这里将只保留TLS 1.3,而且修改 ssl_ciphers。
ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:!MD5;
然后保存。然后我们再检测一下。
这次已经到A级别,已经很不错的,但是还不够好。
这里我们可以看到DNS CAA有问题,需要调整。如果我们要求不是特别完美,A级别也是可以的。这里我们可以根据需要选配。
这里需要借助工具设置。
工具:https://sslmate.com/caa/
输入域名,点击Auto-Generate Policy。然后找到Publish Your CAA Policy。
看到这个CAA解析,我们添加到域名解析。
这里我们设置之后再测试评分,还是A,那其实我们还需要设置HSTS Preload。
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
我们需要在当前站点.CONF文件中添加代码。(HTTPS 配置的 server 模块)
我们再检测看看。这里有个小错误,add_header有和上面默认的重复,删除上面一个,保留新的。
就这样,我们就可以将SSL证书评级设置调整到A+。
在这个过程中,我们需要设置TLS 1.3,以及DNS CAA等设置。