И еще одна
шпаргалка по настройке SSL/TLS на сервере
Недавно
вспомнилось мне, что есть такой сервис
— StartSsl, который совершенно бесплатно
раздаёт trusted сертификаты владельцам
доменов для личного использования. Да
и выходные попались свободные. В общем
сейчас напишу, как в nginx настроить HTTPS,
чтобы при проверке в SSL Labs получить
рейтинг А+ и обезопасить себя от последних
багов с помощью выпиливания SSL
server {
server_name dsmirnov.pro www.dsmirnov.pro;
listen 80;
return 301 https://dsmirnov.pro$request_uri;
}
server {
listen 443 ssl spdy;
server_name dsmirnov.pro;
resolver 127.0.0.1;
ssl_stapling on;
ssl on;
ssl_certificate /etc/pki/nginx/dsmirnov.pro.pem;
ssl_certificate_key /etc/pki/nginx/dsmirnov.pro.clean.key;
ssl_dhparam /etc/pki/nginx/dhparam.pem;
ssl_session_timeout 24h;
ssl_session_cache shared:SSL:2m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=31536000;";
add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";
}
|
И, конечно,
см.комментарии к статье.
original post http://vasnake.blogspot.com/2015/03/ssltls.html
Комментариев нет:
Отправить комментарий