Меню Затваряне

Настройка на nginx за оценка А+ от SSLLabs

За да получите възможно най-високата оценка А+ за конфигурация на nginx инсталираните SSL сертификати на сървъра Ви от сайта SSLLabs е нужно да направим леки корекции в конфигурационния файл на nginx, в който е описан SSL сертификата за вашето уеб приложение. За целта го отваряме с vi или nano, например:

nano /etc/nginx/sites-enabled/domain.com-ssl.conf

Непосредствено след редовете с:

ssl on; 
ssl_dhparam /etc/nginx/ssl/dh.pem; 
ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem; 
ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;

Добавяме следното:

ssl_protocols TLSv1.2;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;

След като приключим с конфигурацията, проверяваме дали е синтактично издържана и дали ще бъде приета от nginx с:

nginx -c /etc/nginx/nginx.conf -t

и ако е всичко е наред и получите резултат „configuration file /etc/nginx/nginx.conf test is successful“ рестартираме nginx уеб сървъра:

systemctl restart nginx

Това е. Сега може да тествате сайта си.
Инструкциите са тествани на:

Debian Jessie (Debian 8)
Debian Stretch (Debian 9)
CentOS 6
CentOS 7

Аналогичен трябва да е начина и при другите операционни системи като Ubuntu, OpenSUSE, Gentoo и други, като трябва да вземете предвид пътя до конфигурацията на vhost файла на сайта.