SSL 安全性評分

很多人都會用 Nginx 來架設網站,也會用安裝 SSL 憑證來加強安全性,國外有一個網站 https://ssllabs.com 可以幫你檢查你的 SSL 憑證是否設定完善,安全性如何,並給你一個安全等級,讓你了解到你的 SSL 網站是否安全

這邊分享幾個常見的問題,修改掉這些問題,分數多少都會提高喔,下面提供 nginx 修改方式

1. This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.

SSL 2.0 or 3.0 protocol 不建議再使用了喔,這些會有安全上的漏洞,例如: ssl poodle的問題。可以只使用 TLS protocol

server {  
    ....
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
    ....
}

2. This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B.

可以用下面的解決辦法

cd /etc/ssl/certs  
openssl dhparam -out dhparam.pem 4096  

然後再告訴 Nginx 用 DHE key-exchange

ssl_dhparam /etc/ssl/certs/dhparam.pem;