如何让自己网站的https更安全

随着https的普及，带动了 ssl 证书的使用率。同时为了节省网站的成本，很多站长采用自签或免费的ssl证书，然后自己着手部署。认为自己动手，丰衣足食，自我完成https的升级。导致很多人在配置完ssl证书后，认为网站就很安全了。然而，这不是最佳的做法。如果错误的部署ssl证书非但无法对网站起到保护，反而还会开启一些不安全的漏洞。数安时代（GDCA）建议在成功部署了ssl证书后，可以在https://www.ssllabs.com/ssltest/ 上对您的完整进行扫描，对您的 HTTPS 站点进行评分，如果是A,则说明您的站点安全性特别高。如图所示

如果等级底，则必须需求最佳的解决方案。

如何构建一个高安全性的站点

如何搭建一个安全性特别高的 HTTPS 类型站点呢？可以参考以下指南：

证书要从可靠的CA厂商申请,数安时代（GDCA）是一家取得国际webtrust认证的权威CA机构；

密钥足够复杂，最好超过2048位，并且要保护好私钥，避免外泄

选择目前主流安全性比较高的签名算法

使用安全协议，比如TLS1.2 禁止使用不安全的协议，比如SSLV2 SSLV3。

使用安全密码套件

使用完整的证书链

可以使用使用HTTP/2

参考配置

server

{

listen 443 ssl http2 default_server;

server_name www.trustauth.cn;

index index.html index.htm index.php;

root  /web;

ssl on;

ssl_certificate /nginx/ssl/key/ www.trustauth.cn.cer;

ssl_certificate_key /nginx/ssl/key/ www.trustauth.cn.key;

ssl_ciphers              EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

ssl_prefer_server_ciphers  on;

ssl_protocols              TLSv1.2;

ssl_session_cache          shared:SSL:50m;

ssl_session_timeout        1d;

}

 

server {

listen  80;

server_name www.trustauth.cn;

if ($request_method !~ ^(GET|HEAD|POST)$ ) {

return        444;

}

rewrite ^(.*)$  https://trustauth.cn$1 permanent;

}

数安时代（GDCA）是一家提供信息安全证书的运营企业，从事信息安全证书数十载，在信息安全方面拥有雄厚的实力。已通过WEBTRUST国际认证，具备了国际化的电子认证服务能力。为国内互联网提供全套免费的ssl安装和检测服务，让您的网站更加安全可靠。