网站启用HTTPS后让评价达到A+级别的方法

304人参与 |分类: 站长百科|时间: 2019年04月26日

目前来说无论是个人站长还是企业官网基本上都启用了HTTPS,这里就不在赘述为什么启用https了,网站类似的文章一搜一大把,今天且来聊聊怎么让证书检测的时候呈现A+标签,有钱的大佬(买SSL证书的)您可以离开了,毕竟在看下去就是耽误你的时间啦。

网站启用HTTPS后让评价达到A+级别的方法-第1张图片

我使用SSL/TLS安全评估报告官网检测的,网址文章底部有,感兴趣的童鞋可以是测试下,首先上图,看下我的检测结果:

网站启用HTTPS后让评价达到A+级别的方法-第2张图片

如果你也希望这样那么跟我一起优化呗,首先确保你网站的SSL证书检测是A级别,正常来说免费的SSL证书,无论是腾讯云还是阿里云又或者其他证书机构都应该是A级别的。然后我们才能锦上添花,将评级提升至A+,其他检测结果不到A+官网已经给出了解决办法,一起来看看怎么说的:

如何达到A+ 

首先要是,这个评分,并不仅仅是针对于证书的部署情况而言的,这是一个多方面综合的评级。其中包括了证书、SSL协议、加密套件、漏洞、不安全的外链等等。如果您的网站的评分已经达到A,那么没有被评到A+的最大的可能性就是没有使用HSTS,使用HSTS的方法很简单,只要在添加Strict-Transport-Security这个HTTP头部信息即可。

Nginx:

add_header Strict-Transport-Security "max-age=31536000";

需要注意的是Strict-Transport-Security中的max-age的时间不能小于15552000秒。

教程官网给出了,但是这个什么http头信息放在哪?怎么放啊?没有说明啊,其他这个很简单,只需要放在你网站的伪静态规则就行,如果是宝塔主机的话,不放在伪静态里面,放在网站配置文件里面是最好的。

步骤:如下,登录你的宝塔面板,然后左侧---网站---找到你的网站,最右侧有个设置,点击设置---然后在弹出的对话框找到左侧的---配置文件---看图

网站启用HTTPS后让评价达到A+级别的方法-第3张图片

直接贴上如上代码,保存,然后重载配置或者重启nginx服务即可,然后在回到MySSL官网更新报告就OK了,你就会发现已经SSL已经提升至A+级别,看着很舒服啊。这是强迫症患者可能会发现,为什么你检测的PCI DSS合规,我的却显示不合规呢?就你眼尖是么,夸夸你观察力惊人是么?切。关于这个问题,我们就要先了解下什么是PCI DSS?

按照官方的说法是:PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施。

早在去年6月30号PCI安全标准委员会官方发表博文将于2018年6月30号(最晚),也就是本月月底禁用早期SSL/TLS,并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求,从而保护支付数据。

随着时间的临近,我们提前调整了PCI DSS合规判定标准(在原有的标准之上,支持TLS v1.0或更早的加密协议将会判定为不合规),方便您提前调整您的服务以避免违规的风险。

解决此问题的方案是:

禁用TLS1.0

同样以宝塔为例,找到网站,点击设置,点击配置文件,把原来的:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

替换

ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

看图:大概位置,毕竟每个人设置方式不同,位置可能也不大相同,你可以百度CTRL+F,查找。

网站启用HTTPS后让评价达到A+级别的方法-第4张图片

如图可以用#注释,也可以删除原来的,然后保存重载配置或者重启nginx服务器,然后在重新检测下SSL,就合规了。至于为什么我的智商和知识是解答不出来的,但是官方给出了答复:

在未来我们的安全评级也将对TLS1.0做出合适的降级处理,在评估兼容性影响后,还是建议大家关闭TLS1.0, 现在TLS1.3都出来了,未来主流应该是TLS1.2+TLS1.3。

大多数是比较老旧系统上自带浏览器不支持,如果是主流用户使用的Chrome、Firefox和国产浏览器基本都兼容的。

至此所有问题都已经迎刃而解,其实关于禁用TLS1.0我们也可以直接删除TLSv1就好了,因为你也不确定你的nginx是否支持TLSv1.3,如果不支持的话,这么写还可能导致出错,顺带把检测代码献上:

宝塔面板,文件,点击如图按钮,调用终端,输入以下命令:

网站启用HTTPS后让评价达到A+级别的方法-第5张图片

nginx -t

如果返回值如图,那么没有问题。

网站启用HTTPS后让评价达到A+级别的方法-第6张图片

如果不是这样的话,就不能填写TLSv1.3,只能删除TLSv1,如图:

网站启用HTTPS后让评价达到A+级别的方法-第7张图片

好了,就啰嗦这么多吧,有问题的留言吧。

MYSSL官网:https://myssl.com/