使用 Mozilla 提供的 在线生成SSL配置工具,根据自己的环境填充对应的参数,自动生成对应环境下的SSL配置。 根据下面生成的配置,对应修改自己的 nginx.conf 文件。其中最重要的是 ssl_protocols 和 ssl_ciphers 这两项配置。
修改配置后可以用如下方法测试自己的网站配置是否生效。
方法一:
直接用检测网站查看自己网站的安全等级。 这里我是用的是:ssllabs 在检测结果的 Configuration 里可以查看检测的网站所支持的TLS版本
方法二:
在Linux中用命令指定TLS协议版本,对网站发起请求进行测试:
#测试是否支持 TLS 1.0
openssl s_client -connect xxx.com:443 -tls1
#测试是否支持 TLS 1.1
openssl s_client -connect xxx.com:443 -tls1_1
#测试是否支持 TLS 1.2
openssl s_client -connect xxx.com:443 -tls1_2
#测试是否支持 TLS 1.3
openssl s_client -connect xxx.com:443 -tls1_3
在返回的结果查看 Secure Renegotiation 是否是 supported 的,是的话表示支持。
不支持的TLS:
支持的TLS:
参考资料: 从无法开启 OCSP Stapling 说起
好文阅读
发表评论