如何讓HTTPS站點(diǎn)更加安全? 這篇HTTPS安全加固配置最佳實(shí)踐指南就夠了

時(shí)間：2023-04-19 01:14:01 | 來(lái)源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2023-04-19 01:14:01 來(lái)源：網(wǎng)站運(yùn)營(yíng)

如何讓HTTPS站點(diǎn)更加安全? 這篇HTTPS安全加固配置最佳實(shí)踐指南就夠了：[TOC]




前置知識(shí)推薦了解
HTTPS原理介紹以及證書簽名的申請(qǐng)配置 ( https://blog.weiyigeek.top/2019/10-21-10.html )




SSL與TLS協(xié)議原理和證書簽名生成實(shí)踐指南 ( https://blog.weiyigeek.top/2019/10-21-12.html )




原文鏈接
HTTPS安全優(yōu)化配置最佳實(shí)踐指南簡(jiǎn)述 ( https://blog.weiyigeek.top/2022/4-6-11.html )

---

0x02 HTTPS安全加固指南

描述: 當(dāng)你的網(wǎng)站上了 HTTPS 以后，可否覺(jué)得網(wǎng)站已經(jīng)安全了，其實(shí)不然前面說(shuō)過(guò)想要部署TLS是非常容易，只需要證書與密鑰文件然后根據(jù)中間件的配置ssl方法進(jìn)行配置即可，默認(rèn)的配置通常不滿足https的安全需要，所以我們還需要進(jìn)一步著重在于 HTTPS 網(wǎng)站的 Header 的相關(guān)配置。

1.連接安全性和加密選擇

安全加固實(shí)踐

• 1.1) 建議部署配置 (HSTS) HTTP Strict Transport Security (HTTP 嚴(yán)格傳輸安全HSTS)響應(yīng)頭，它是TLS的安全網(wǎng)旨在確保即使在配置問(wèn)題和實(shí)施錯(cuò)誤的情況下安全性仍然保持不變,如果要使用HSTS我們只需要在網(wǎng)站添加一個(gè)新的響應(yīng)頭Strict-Transport-Security。再設(shè)置該響應(yīng)頭之后將會(huì)告訴瀏覽器只使用 HTTPS 連接到目標(biāo)服務(wù)器，并且還防止一些潛在的中間人攻擊，包括 SSL 剝離、會(huì)話 cookie 竊取。

# 語(yǔ)法演示:Strict-Transport-Security: max-age=<expire-time>Strict-Transport-Security: max-age=<expire-time>; includeSubDomainsStrict-Transport-Security: max-age=<expire-time>; preload# 配置示例: 瀏覽器防止指定站點(diǎn)以及將來(lái)的子域名都采用 HTTPS，最大年齡為1年(31536000)，同時(shí)還允許預(yù)加載（加快速度）：Strict-Transport-Security: max-age=31536000; includeSubDomains; preload# Nginx# HSTS (ngx_http_headers_module is required) (63072000 seconds == 兩年)add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

• 2.2) 建議部署配置HPKP(HTTP Public Key Pins)響應(yīng)頭, 指示瀏覽器只與提供的 SSL/TLS 的 HASH 相符或存在于同一證書鏈的服務(wù)器相連接。簡(jiǎn)單的說(shuō)如果 SSL/TLS 證書以一種意想不到的方式發(fā)生了變化，瀏覽器就無(wú)法連接到主機(jī)，這主要是針對(duì)受信任證書頒發(fā)機(jī)構(gòu)（CA）或流氓 CA 證書頒發(fā)的偽造證書，用戶可能會(huì)被騙安裝。

例如，瀏覽器連接到 https://weiyigeek.top，它存在這個(gè)頭。header 告訴瀏覽器，如果證書 key 匹配，或者在發(fā)出證書鏈中有一個(gè) key 匹配，那么在將來(lái)才會(huì)再次連接。其他的指令組合是可能的。它們都極大地減少了攻擊者在客戶端和合法主機(jī)之間模擬主機(jī)或攔截通信的可能性。

Public-Key-Pins: max-age=5184000; pin-sha256="+oZq/vo3Kcv0CQPjpdwyInqVXmLiobmUJ3FaDpD/U6c="; pin-sha256="47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU="


溫馨提示: 設(shè)置 HSTS header Strict-Transport-Security 長(zhǎng)的生命周期，即 max-age 的時(shí)間不能小于15552000，最好是半年及以上。
溫馨提示: 確定是否需要為您的站點(diǎn)使用 PKP, 如果要是使用它請(qǐng)注意在SSL/TLS密鑰需要更新時(shí)建立備份計(jì)劃, 優(yōu)先創(chuàng)建備份密鑰和離線存儲(chǔ)。

2.站點(diǎn)內(nèi)容安全（Content security）

安全加固實(shí)踐

• 2.1) 避免混合 HTTPS 和 HTTP 內(nèi)容(Mixed HTTPS and HTTP Content), 如果 HTTPS 部署在主站上，請(qǐng)將任何地方的所有內(nèi)容都 HTTPS 化（全站 HTTPS）。
  
  

• 2.2) 建議配置良好的內(nèi)容安全策略(CSP - Content Security Policy)響應(yīng)頭, 它可以幫助抵御跨站點(diǎn)腳本（XSS）和其他注入攻擊等攻擊，現(xiàn)在主流的瀏覽器都是支持CSP頭的。
  
  

一個(gè)理想的CSP策略是基于白名單的方法，不允許任何東西，除了明確允許的內(nèi)容，它還限制了 javascript 的來(lái)源和允許操作。

# 從限制性策略開(kāi)始在必要時(shí)放松。Content-Security-Policy: default-src 'none';# 現(xiàn)在讓我們?cè)试S自托管 scripts、images、CSS、fonts 和 AJAX，以及 jQuery CDN 托管腳本和 Google Analytics:Content-Security-Policy: default-src 'none'; script-src 'self' https://code.jquery.com https://www.google-analytics.com; img-src 'self' https://www.google-analytics.com; connect-src 'self'; font-src 'self'; style-src 'self';# 一個(gè)不那么嚴(yán)格的策略Content-Security-Policy: default-src 'self';# 更少的限制性策略,然后添加限制，非常不建議如此使用。Content-Security-Policy: default-src '*';

• 2.3) 建議配置X-Frame-Options非標(biāo)準(zhǔn)的響應(yīng)頭, 它規(guī)定了控制站點(diǎn)是否可以放置在 <iframe>，<frame> 或 <object> 標(biāo)簽, 從而防止了clickjacking (點(diǎn)擊劫持)攻擊。所以啟用它時(shí)請(qǐng)確定你的網(wǎng)站是否需要被允許呈現(xiàn)在一個(gè) frame 中。

# HTTP header: 完全不允許使用 sameorigin 拒絕或允許同源框架的選項(xiàng)X-Frame-Options: deny# 該響應(yīng)頭可選值DENY：不能被嵌入到任何iframe或者frame中。SAMEORIGIN：頁(yè)面只能被本站頁(yè)面嵌入到iframe或者frame中ALLOW-FROM uri：只能被嵌入到指定域名的框架中# Nginx, 允許 music.163.com 放置在站點(diǎn)之中add_header X-Frame-Options ALLOW-FROM music.163.com;

• 2.4) 建議配置XSS Protection(XSS過(guò)濾器) 可選, 跨站點(diǎn)腳本（XSS 或 CSS）的保護(hù)被構(gòu)建到大多數(shù)流行的瀏覽器中，例如Chorme、IE等，但除了 Firefox 瀏覽器之外。

# HTTP header:X-Xss-Protection: 1; block# Nginx:add_header X-XSS-Protection "1; mode=block";

• 2.5) 建議配置Cache Control, 其表示緩存頁(yè)面輸出的首選項(xiàng)，適當(dāng)?shù)闹惦S網(wǎng)站數(shù)據(jù)的性質(zhì)而變化，但強(qiáng)烈推薦使用偏好, 如果允許緩存則應(yīng)該將 max-age 值包含在 Cache-Control 以及 Etag 頭文件中，以允許客戶端緩存驗(yàn)證。

# HTTP header:Cache-Control: public*# 可選參數(shù):其中的一個(gè) public，private，no-cache 或 no-store。

• 2.6) 建議配置 Content Type Options，當(dāng)瀏覽器以不同的方式處理來(lái)自服務(wù)器的文件時(shí)，MIME 嗅探就是服務(wù)器指令，例如當(dāng)一個(gè)網(wǎng)站承載不受信任的內(nèi)容（如用戶提供的）時(shí)這是非常危險(xiǎn)的。所以我們可以采用非標(biāo)準(zhǔn)的標(biāo)頭 X-Content-Type-Options 選項(xiàng)指示瀏覽器不做任何模仿指定類型的 MIME。

# HTTP header:X-Content-Type-Options: nosniff# Nginxadd_header X-Content-Type-Options nosniff;

• 2.7) 建議驗(yàn)證子資源完整性(Subresource Integrity), 瀏覽器通常從外部域加載大量資源、javascript 和樣式表, 例如第三方的js或者css，如果如果外部資源被破壞修改可能導(dǎo)致所以調(diào)用的站點(diǎn)存在一系列的脆弱性，所以我們?cè)O(shè)置外部 javascript 和樣式表的完整性屬性或者將外部腳本保存到本地路徑中進(jìn)行相對(duì)路徑調(diào)用。

# 完整性校驗(yàn),該文件的SHA384值<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js" integrity="sha384-6ePHh72Rl3hKio4HiJ841psfsRJveeS+aLoaEf3BWfS+gTF0XdAqku2ka8VddikM"></script># 或者本地相對(duì)調(diào)用<script>window.jQuery || document.write('<script src="/jquery.min.js"><//script>')</script>

• 2.8) 建議配置 Iframe Sandbox，如果你的站點(diǎn)存在iframe標(biāo)簽的使用，建議配置 sandbox 屬性允許對(duì) iframe 中可以進(jìn)行的操作進(jìn)行限制。

# 設(shè)置 iframe 的 sandbox 屬性，然后添加所需的權(quán)限。<iframe src="https://weiyigeek.top" sandbox="allow-same-origin allow-scripts"></script>

• 2.8) 建議配置 TLS服務(wù)器時(shí)間同步,我們可使用網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）來(lái)保持服務(wù)器時(shí)鐘的準(zhǔn)確性，這是由于服務(wù)器包括所有響應(yīng)的時(shí)間戳，不準(zhǔn)確的時(shí)鐘不會(huì)給客戶機(jī)瀏覽器帶來(lái)問(wèn)題。
  
  ntpdate http://ntp.aliyun.com
  10 Apr 07:39:18 ntpdate[41371]: adjust time server 203.107.6.88 offset 0.000460 sec
  
  
  
  

• 2.9) 建議配置 Cookie Security, 如果你的站點(diǎn)包含敏感信息的 cookie，特別是會(huì)話 id，需要標(biāo)記為安全的，建議會(huì)話 cookie 應(yīng)該與 HttpOnly 值進(jìn)行標(biāo)記 和 正確配置 HSTS 響應(yīng)頭。以防止它們被 javascript 訪問(wèn)，這可以防止攻擊者利用 XSS 竊取會(huì)話 cookie。
  
  

# 標(biāo)記所有 cookie 安全為HttpOnlySet-Cookie: Key=Value; path=/; secure; HttpOnly, Key2=Value2; secure; HttpOnly# 例如, Tomcat7 中進(jìn)行 HttpOnly 與 secure 配置# tomcat/conf/server.xml<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" secure="true" /># tomcat/conf/web.xml<session-config> <session-timeout>30</session-timeout> <cookie-config> <http-only>true</http-only> </cookie-config> </session-config>

• 2.10) 建議配置X-Robots-Tag，使用Meta Robots標(biāo)記，可以真正阻止搜索引擎顯示想保留在搜索結(jié)果之外的頁(yè)面, 使用X-Robots-Tag HTTP標(biāo)頭可以達(dá)到相同的結(jié)果,如前所述，X-Robots-Tag還允許控制如何索引特定文件（類型），從而提供了更大的靈活性。

# 防止搜索引擎顯示使用PHP生成的文件.add_header X-Robots-Tag noindex;# 假如一個(gè)提供.doc文件的網(wǎng)站，但由于特定的原因，不希望搜索引擎為該文件類型建立索引.location ~* /.(doc|docx|pdf)$ { add_header X-Robots-Tag noindex, noarchive, nosnippet;}


溫馨提示: 在Nginx中配置緩存策略非常簡(jiǎn)單, 我們只需要在指定的location規(guī)則下,加入類似于expires關(guān)鍵參數(shù)即可;

3.避免站點(diǎn)額外信息泄露

安全加固實(shí)踐

• 3.1) 建議將Web服務(wù)器的版本號(hào)去掉, 例如在 Nginx 中我們可以在 http{} 塊中配置加入server_tokens off;, 便可以只包含服務(wù)器名稱但去掉版本號(hào)Server: nginx；
  
  

• 3.2) 建議取消掉許多 web 框架設(shè)置 HTTP 頭 以及 識(shí)別框架或版本號(hào)，雖然可能對(duì)我們?cè)L問(wèn)者無(wú)實(shí)際用途但對(duì)于搜索引擎或者其它Hacker攻擊者來(lái)說(shuō)這可是個(gè)好東西。所以建議從服務(wù)器響應(yīng)中刪除這些標(biāo)頭: X-Powered-By, X-Runtime, X-Version 和 X-AspNet-Version。
  
  

4.避免Web服務(wù)器中間件脆弱性

安全加固實(shí)踐

• 4.1) 推薦使用最新穩(wěn)定的OpenSSL版本, 但是需要注意在升級(jí)前請(qǐng)做好回滾措施或者測(cè)試，當(dāng)前2022年4月10日 08:09:17最新的版本為openssl-1.1.1n。
  
  # 編譯安裝
  # https://www.openssl.org/source/
  wget -c http://www.openssl.org/source/openssl-1.1.1n.tar.gz
  tar -zxf openssl-1.1.1n.tar.gz && cd openssl-1.1.1n
  ./config --prefix=/usr/local/openssl
  make && sudo make install
  # lib 庫(kù)加載到系統(tǒng)
  echo "/usr/local/openssl/lib" >> /etc/ld.so.conf.d/libc.conf
  ldconfig
  # 可以看到當(dāng)下系統(tǒng)的Openssl版本已經(jīng)更新到最新
  # root@weiyigeek-top:/usr/local/openssl/bin# openssl version
  # OpenSSL 1.1.1n 15 Mar 2022
  
  

• 4.2) 推薦使用最新穩(wěn)定的Web服務(wù)器軟件及其版本, 例如 Nginx、Apache、Tomcat等中間件，請(qǐng)選擇當(dāng)前無(wú)脆弱性的版本。
  
  # Nginx 中間件版本查看
  $ nginx -V
  nginx version: nginx/1.21.6
  built by gcc 9.4.0 (Ubuntu 9.4.0-1ubuntu1~20.04)
  built with OpenSSL 1.1.1n 15 Mar 2022
  TLS SNI support enabled
  configure arguments: --prefix=/usr/local/nginx --with-pcre=../pcre-8.45 --with-zlib=../zlib-1.2.11 --user=ubuntu --group=ubuntu --sbin-path=/usr/sbin/nginx --conf-path=/usr/local/nginx/nginx.conf --pid-path=/usr/local/nginx/nginx.pid --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --lock-path=/var/run/nginx.lock --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-stream_geoip_module --with-threads --with-mail --with-mail_ssl_module --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-compat --with-file-aio --with-cc-opt='-Os -fomit-frame-pointer -g' --with-ld-opt=-Wl,--as-needed,-O1,--sort-common
  
  

---

0x03 HTTPS安全與兼容性如何抉擇

描述: 很多網(wǎng)站HTTPS檢測(cè)評(píng)分都達(dá)到了A或者A+, 但在看檢測(cè)結(jié)果的時(shí)候發(fā)現(xiàn)類似于百度和淘寶這類大用戶群的網(wǎng)站居然沒(méi)有評(píng)級(jí)到A或者在使用的加密套件上有橙色的加密套件, 這是由于不同的業(yè)務(wù)側(cè)重點(diǎn)不同，針對(duì)于瀏覽業(yè)務(wù)不涉及重要敏感信息的系統(tǒng)往往會(huì)犧牲一點(diǎn)安全性獲取極致的兼容性。













溫馨提示: 如果要適配IE6這款瀏覽器，那么SSL協(xié)議就必須得支持SSL2和SSL3(會(huì)受到POODLE漏洞問(wèn)題影響), 所以除去CBC加密套件那就只剩下RC4系列的加密套件,實(shí)際上RC4也是不安全只是為了兼容某些老版瀏覽器的妥協(xié)。
溫馨提示: 如果要放棄IE6并適配兼容XP上的IE8這款瀏覽器，唯一比較安全的就是3DES系列的加密套件，這差不多少是一種較好的方式。




如果你的服務(wù)器需要支持像IE6這種古董級(jí)別的瀏覽器可以采用方式1, 而如果想在保證相對(duì)安全性的同時(shí)也具有一定的兼容性可以采用方式2, 如果業(yè)務(wù)比較敏感為保證其安全性，忽略掉其兼容性，建議采用方式3（隨著openssl版本迭代進(jìn)行最好的安全性進(jìn)行配置）.




ssl_ciphers && ssl_protocols 在Nginx上配置示例
方式1.更好的兼容性(支持IE6老古董)




ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH;ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;


方式2.具有相對(duì)安全性和一定的兼容性(支持IE8~11)




# Nginxssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;# old configurationssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA;ssl_prefer_server_ciphers on;


方式3.建議根據(jù)系統(tǒng)中openssl版本中加密套件進(jìn)行安全性配置，犧牲一定的兼容性。




ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDH:AES:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:HIGH:!NULL:!aNULL:!eNULL:!EXPORT:!PSK:!ADH:!DES:!3DES:!MD5:!RC4;ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;


博主當(dāng)前配置




# Nginxssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE:ECDH:AES:HIGH:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:!NULL:!aNULL:!eNULL:!EXPORT:!PSK:!ADH:!DH:!DES:!MD5:!RC4;# 以下密碼需要明確禁止使用!aNULL，不包含身份驗(yàn)證的DH密碼，可能被中間人攻擊!eNULL，不采取密鑰交換，也就是明文傳輸!EXPORT，美國(guó)當(dāng)年限制加密產(chǎn)品出口遺留的弱密碼!MD5,!RC4,!DES，這些密碼已被證明攻破難度低


溫馨提示: 我們可以訪問(wèn)mozilla公司提供的 SSL Configuration Generator 參考進(jìn)行相應(yīng)的配置參考(https://ssl-config.mozilla.org/),例如我們生成具有多種客戶端的通用服務(wù)器Nginx SSL配置。




# generated 2022-04-10, Mozilla Guideline v5.6, nginx 1.26.1, OpenSSL 1.1.1n, intermediate configuration# https://ssl-config.mozilla.org/#server=nginx&version=1.26.1&config=intermediate&openssl=1.1.1n&guideline=5.6server { listen 80 default_server; listen [::]:80 default_server; location / { return 301 https://$host$request_uri; }}server { listen 443 ssl http2; listen [::]:443 ssl http2; ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_session_timeout 1d; ssl_session_cache shared:MozSSL:10m; # about 40000 sessions ssl_session_tickets off; # curl https://ssl-config.mozilla.org/ffdhe2048.txt > /path/to/dhparam ssl_dhparam /path/to/dhparam; # intermediate configuration ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; # HSTS (ngx_http_headers_module is required) (63072000 seconds) add_header Strict-Transport-Security "max-age=63072000" always; # OCSP stapling ssl_stapling on; ssl_stapling_verify on; # verify chain of trust of OCSP response using Root CA and Intermediate certs ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates; # replace with the IP address of your resolver resolver 127.0.0.1;}











溫馨提示: 我們可以采用openssl ciphers命令查看套件支持的協(xié)議。




openssl ciphers -V 'ECDHE-RSA-AES128-GCM-SHA256:ECDH:AES:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:CAMELLIA:HIGH:!NULL:!aNULL:!eNULL:!EXPORT:!PSK:!ADH:!DES:!MD5:!RC4' | column -t

---

0x0n 入坑出坑

1.通過(guò)https證書安全合規(guī)檢測(cè)發(fā)現(xiàn)缺少HTTP Strict-Transport-Security響應(yīng)頭

解決辦法: 例如，此處在 Nginx 服務(wù)器配置 server 段中添加如下內(nèi)容 add_header Strict-Transport-Security "max-age=15768000;includeSubDomains;preload"; 以便于讓瀏覽器響應(yīng)并支持HSTS。

2.利用 myssl 站點(diǎn)的HTTPS安全報(bào)告工具檢測(cè)，出現(xiàn)證書鏈不完整降級(jí)為B提示

問(wèn)題描述:

• 瀏覽器的處理流程: 現(xiàn)代的瀏覽器都有證書自動(dòng)下載的功能，但很多瀏覽器在安裝后是使用系統(tǒng)內(nèi)置的證書庫(kù)，如果你缺失的那張CA證書 (信任的)，在系統(tǒng)的內(nèi)置證書庫(kù)中不存在的話，用戶第一次訪問(wèn)網(wǎng)站時(shí)會(huì)顯示如下情況:（以Chrome為例）, 即使你的證書確實(shí)是可信的，但依舊會(huì)顯示成不可信，只有等到瀏覽器自動(dòng)把缺失的那張CA證書從網(wǎng)上下載下來(lái)之后，訪問(wèn)該網(wǎng)站才會(huì)顯示成可信狀態(tài)。

• 硬件設(shè)備的處理流程: 大量的硬件設(shè)備并不會(huì)像瀏覽器一樣下載CA證書，如果你缺失的CA證書不再這些硬件設(shè)備的內(nèi)置證書庫(kù)中，那么使用這些硬件設(shè)備訪問(wèn)網(wǎng)站就會(huì)一直顯示你的域名是不可信狀態(tài)。

缺少證書鏈的問(wèn)題和解決辦法: 修復(fù)的辦法很簡(jiǎn)單就是在部署證書的時(shí)候，把那張缺失的CA證書一并部署。目前一般的證書簽發(fā)機(jī)構(gòu)在簽發(fā)證書的時(shí)候會(huì)把該CA證書一并打包，如果你沒(méi)有也不同慌，我們可以使用MySSL提供的工具(https://myssl.com/chain_download.html)補(bǔ)全證書鏈。




# 下載證書鏈curl https://myssl.com/api/v1/get_chain/5FFAFB3E5757A13292C4E3C0A045257E915D27DA > full_chain_ecc.crt# 在 Nginx 中配置證書鏈ssl_certificate /app/ssl/weiyigeek.top_ecc/full_chain_ecc.crt;ssl_certificate_key /app/ssl/weiyigeek.top_ecc/weiyigeek.top.key;

> 本文章來(lái)源 [我的Blog站點(diǎn)](https://blog.weiyigeek.top) 或 [WeiyiGeek 公眾賬號(hào)](https://www.weiyigeek.top/img/wechat-search.png) 以及 [我的BiliBili專欄](https://space.bilibili.com/385802642) (`技術(shù)交流、友鏈交換請(qǐng)郵我喲`),
> 歡迎各位志同道合的朋友一起學(xué)習(xí)交流，如文章有誤請(qǐng)留下您寶貴的知識(shí)建議，通過(guò)郵箱【[master#weiyigeek.top](mailto:master#weiyigeek.top)】聯(lián)系我喲！