使用 Mozilla 提供的 在线生成SSL配置工具,根据自己的环境填充对应的参数,自动生成对应环境下的SSL配置。 根据下面生成的配置,对应修改自己的 nginx.conf 文件。其中最重要的是 ssl_protocols 和 ssl_ciphers 这两项配置。

修改配置后可以用如下方法测试自己的网站配置是否生效。

方法一:

直接用检测网站查看自己网站的安全等级。 这里我是用的是:ssllabs 在检测结果的 Configuration 里可以查看检测的网站所支持的TLS版本

方法二:

在Linux中用命令指定TLS协议版本,对网站发起请求进行测试:

#测试是否支持 TLS 1.0

openssl s_client -connect xxx.com:443 -tls1

#测试是否支持 TLS 1.1

openssl s_client -connect xxx.com:443 -tls1_1

#测试是否支持 TLS 1.2

openssl s_client -connect xxx.com:443 -tls1_2

#测试是否支持 TLS 1.3

openssl s_client -connect xxx.com:443 -tls1_3

在返回的结果查看 Secure Renegotiation 是否是 supported 的,是的话表示支持。

不支持的TLS:

支持的TLS:

参考资料: 从无法开启 OCSP Stapling 说起

好文阅读

评论可见,请评论后查看内容,谢谢!!!
 您阅读本篇文章共花了: