За да получите възможно най-високата оценка А+ за конфигурация на инсталираните SSL сертификати на сървъра Ви от сайта SSLLabs е нужно да направим леки корекции в конфигурационния файл на nginx, в който е описан SSL сертификата за вашето уеб приложение. За целта го отваряме с vi или nano, например:
1 |
nano /etc/nginx/sites-enabled/domain.com-ssl.conf |
Непосредствено след редовете с:
1 2 3 4 |
ssl on; ssl_dhparam /etc/nginx/ssl/dh.pem; ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem; |
Добавяме следното:
1 2 3 4 |
ssl_protocols TLSv1.2; ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; |
След като приключим с конфигурацията, проверяваме дали е синтактично издържана и дали ще бъде приета от nginx с:
1 |
nginx -c /etc/nginx/nginx.conf -t |
и ако е всичко е наред и получите резултат „configuration file /etc/nginx/nginx.conf test is successful“
рестартираме nginx уеб сървъра:
1 |
systemctl restart nginx |
Това е. Сега може да тествате сайта си.
Инструкциите са тествани на:
Debian Jessie (Debian 8)
Debian Stretch (Debian 9)
CentOS 6
CentOS 7
Аналогинчен трябва да е начина и при другите операционни системи като Ubuntu, OpenSUSE, Gentoo и други, като трябва да вземете предвид пътя до конфигурацията на vhost файла на сайта.