ssl安全性测试地址:https://myssl.com/
nginx:配置参数如下:
#ssl on;test
ssl_certificate /usr/local/nginx/cert/test.crt; # 改为自己申请得到的 crt 文件的名称
ssl_certificate_key /usr/local/nginx/cert/test.key; # 改为自己申请得到的 key 文件的名称
ssl_session_timeout 5m;
ssl_protocols TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE;
#ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
ssl_prefer_server_ciphers on;问题A:TLSv1会导致证书PCI DSS,因此ssl_protocols不能有TLSv1。
ssl_protocols TLSv1.1 TLSv1.2;问题B:ATS不合规,如下会导致ATS不合规。
ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;修改以下:
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE;