如何一步步构建安全的 HTTPS 站点

第八，根据自己的业务需求选择合适的证书，证书分为自签证书、 DV、 EV 和OV 证书，一般来说只是需要进行简单的数据加密，采用 DV 证书即可，这类证书通常都可以免费申请，只需要进行简单的域名所有者权验证即可申请，而EV和OV证书一般价格昂贵，适合金融机构或针对数据加密有严格要求的单位使用，这类证书签发手续复杂，一般需要进行企业身份认证后才会签发。自签证书一般用户临时测试使用，不建议生产环境使用，因为它并不是受信任的CA 机构签发的，浏览器不会信任。

当我们配置完后，可以通过https://www.ssllabs.com/ssltest/ ，对你的 HTTPS 站点进行评分，如果是A+则说明你的站点安全性特别高。如图所示，如果评分不高，你可以查看具体的详情来针对你的站点进行更具体的优化。

最后，附上一份nginx 的配置，作为参考：

server 
 { 
 listen 443 ssl http2 default_server; 
 server_name www.example.com ; 
 index index.html index.htm index.php; 
 root /web; 
 ssl on; 
 ssl_certificate /nginx/ssl/awen/fullchain.cer; 
 ssl_certificate_key /nginx/ssl/example/example.com.key; 
 ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:TLS-CHACHA20-POLY1305-SHA256:TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+AESGCM:EECDH+AES:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!KRB5:!aECDH:!EDH+3DES; 
 ssl_prefer_server_ciphers on; 
 ssl_protocols TLSv1.2 TLSv1.3; 
 ssl_session_cache shared:SSL:50m; 
 ssl_session_timeout 1d; 
 ssl_session_tickets on; 
 resolver 114.114.114.114 valid=300s; 
 resolver_timeout 10s; 
 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; 
 add_header X-Frame-Options deny; 
 add_header X-Content-Type-Options nosniff; 
 add_header CIP $http_x_real_ip; 
 add_header Accept-Ranges bytes; 
} 
server { 
 listen 80; 
 server_name _; 
 server_name www.example.com ; 
 return 302 https://$host$request_uri; 
} 

好了，以上就是我给大家分享的关于 HTTPS 站点的优化建议。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!