За да получите възможно най-високата оценка А+ за конфигурация на nginx инсталираните SSL сертификати на сървъра Ви от сайта SSLLabs е нужно да направим леки корекции в конфигурационния файл на nginx, в който е описан SSL сертификата за вашето уеб приложение. За целта го отваряме с vi или nano, например:
nano /etc/nginx/sites-enabled/domain.com-ssl.conf
Непосредствено след редовете с:
ssl on; ssl_dhparam /etc/nginx/ssl/dh.pem; ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
Добавяме следното:
ssl_protocols TLSv1.2; ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m;
След като приключим с конфигурацията, проверяваме дали е синтактично издържана и дали ще бъде приета от nginx с:
nginx -c /etc/nginx/nginx.conf -t
и ако е всичко е наред и получите резултат „configuration file /etc/nginx/nginx.conf test is successful“ рестартираме nginx уеб сървъра:
systemctl restart nginx
Това е. Сега може да тествате сайта си.
Инструкциите са тествани на:
Debian Jessie (Debian 8)
Debian Stretch (Debian 9)
CentOS 6
CentOS 7
Аналогичен трябва да е начина и при другите операционни системи като Ubuntu, OpenSUSE, Gentoo и други, като трябва да вземете предвид пътя до конфигурацията на vhost файла на сайта.