终于调出 HTTPS 的 A+

不发教程、心得，就是炫耀。
严重鄙视 LZ 这种行为。

@ivmm 等到家了就写。。。

@zhicheng 到时候参考下你的教程，把我的 C 也也优化一下，蛤蛤~

什么工具测的？

兼容性太差意义不大，只能自己看看玩。

@Altman 测试工具 https://www.ssllabs.com/ssltest/
@jasontse 恩， IE8 和 IE8 以下的全挂。还有 Android 2.3 。

blog.solarhell.com 晒一发 嘻嘻

@songjiaxin2008 博客很简洁哦，欢迎你来试一下 TextArea.com 。

把 TLS 1.0 和 TLS 1.1 都禁掉，就全部满分了！^_^

教程 http://www.tntsec.com/374.html

把证书重签成 384 位的 ECC ，比 4096 位的 RSA 的效率高。再用上 CHACHA20-POLY1305 ，移动设备的加密速度会好多的。

我也晒一发。

https://www.vobe.io/

@zhicheng 没理由， A+不需要把 IE8 配挂...

@zhicheng
你的 Cipher Suites 太严苛了， Java 的也全挂了...
其实从 A 到 A+应该也只是 HSTS 的问题...

Ubuntu 呢

@Had 这你就搞错了，我有 HSTS 也不是 A+

其实 SSL 的跑分跟手机跑分差不多，只要不是特别低就没关系。一味追求高分除了给自己带来麻烦以外毫无意义。。。

比较容易 A+吧。没必要牺牲 IE8 。

https://iyaozhen.com/

cloudflare 即可>.>
codex.eu.org

A+ 不是很难， Suites 设好，连 PCI 、 FIPS 都能过。

@Citrus 这个跟分数高低没关系吧，不出现重大的安全问题就好了。即使追求高分也不会带来什么麻烦，最多就是旧的浏览器上不了。如果前端不想兼容旧浏览器也刚好做了过滤，愿意上不了，也不要看到版面乱七八糟的页面。

都在发自己的博客吗？ http://1807136262

@Citrus 俺的意思是，如果寻常配置一下到 A 以后，加个大于 180 天的 HSTS 一般都可以 A+...

https://lglp.de 牺牲 XP ，加个 迪菲－赫尔曼密钥交换。同样 A+

@Daddy 这是怎么实现？

全部調好只能實現 A 加上時間足夠長的 HSTS 後就可以變成 A+了 足夠長比如一年

https://imququ.com
发现本帖变成博客秀了。

曾经配出过满分的路过，只不过兼容性极差没卵用。。。

@zhicheng 好的谢谢 有机会尝试一下

https://rrke.cc

什么叫 A+的 https ？？？菜鸟求科普……

加了 HSTS 才能到 A+，不过完全没意思，为一个 A+牺牲全部子站感觉不值得……所以一直都是 A-
https://alleysakura.com
当时窝弄上了 HTTP/2 在兼容性上也是扣分扣得一塌糊涂 orz

@hiroya 不用加 subdomain 也可以 A+ https://www.ssllabs.com/ssltest/analyze.html?d=blog.kghost.info

OP 肯定在想"居然都真的都开始讨论 ssl 了, 竟然没一个发现我的米".

我来吧, 好米啊.

@holulu
改成 ecdh 384 和 dh 4096 ，关掉 RSA
KE 还是没有满分

@Daddy 同问 怎么实现的！

@a33004407 如何实现？

@aholic @d8 @a33004407
IP 地址本来就是一个 32 位 int

www.google.com 测试得分是大多数是 B ， www.baidu.com 得分是 C

@zealot0630 嗯，研究研究，一个帖子炸出这么多博客 23333333

@rrkelee https://www.ssllabs.com/ssltest/analyze.html?d=rrke.cc

@zealot0630 这个不是为了满分，只是为效率。只启用 TLS 1.2 协议，其他都禁用应该可以满分了。

@hiroya 我也是 HTTP2 不过似乎也是 A+
https://imlonghao.com/

A+了 Chrome 依然黄锁

一直 A+…
禁用 ssl3 ，启用 D-H 协商就行了。
我外加了强制 https 。

照着这个页面 https://weakdh.org/sysadmin.html 改一下 nginx 配置就 A+了

@a33004407
@aholic http://2079920136
将 IP 转换为 32 位即可

@imlonghao 那是必须的， http2 强制了 ssl

貌似挂的只有 ie6 和 Java 6u45
https://www.ssllabs.com/ssltest/analyze.html?d=fancycoding.com

觉得没意思啊，没意思啊没意思啊没意思

像我从来不在乎兼容性的。只开 TLSv1.2 就可以全部四个 100 分了 https://www.ssllabs.com/ssltest/analyze.html?d=experiments.sparanoid.com

CloudFlare 开 HSTS 也是 A+， 100 95 90 90
不兼容 XP/IE ，需要支持 SNI

我也是 a+
参考的是这篇文章 https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html

#SSL Begin
listen 443 ssl;
ssl on;
ssl_certificate /home/wwwroot/your/vhost/crt.crt;
ssl_certificate_key /home/wwwroot/your/vhost/key.key;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
ssl_dhparam /home/wwwroot/your/vhost/dhparams.pem;
add_header Strict-Transport-Security max-age=31536000;
ssl_stapling on;
ssl_stapling_verify on;
#SSL End

这样配置就 A+了，参考
https://www.ssllabs.com/ssltest/analyze.html?d=ssno.de
https://www.ssllabs.com/ssltest/analyze.html?d=gfw.si

感觉是强迫症，跟 360 体检 100 分类似

什么？还有人考虑 IE8 ？...我连 IE10 都扔了

为啥不用 debian 7 or 8

@Arnaud 没生成 dhparam 就给这个路径是不是不妥

@loveminds 因为没有 233333

@hiroya 本身就是泛域名证书的路过
@holulu 由于签发时间太早，所以...还是 SHA1withRSA

@ivmm add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

@loveminds 有钱，但邮件服务用的是第三方

@loveminds 在过期之前不能重签的么？ Positive SSL 和 Rapld SSL 可以无限重签的

@holulu 很麻烦，因为之前不是我负责的，要打电话联系美国那边去处理

@rrkelee
DNS_PROBE_FINISHED_NXDOMAIN
原来是骗人的哦哈哈哈

@402645707 黄锁是因为页面有资源不是 https 的

之前调出来以后 收不到支付宝支付的异步通知了, 我用的 nginx

@pwinner 自行生成咯 2333

支持楼主分享一下教程哦

@holulu 某天，拿着朋友的手机，来看看我的博客吧！可是死活打不开，最后发现是 HTTPS 的问题。。。这就是我当时追求高分的结果。。。

我想说的是，你永远不知道你可能要在哪打开你的博客。比如帮别人处理问题而刚好自己的博客有记录，结果发现自己的博客打不开，然后又要从头搜。这样浪费的时间我宁愿用降低得分来换。。。

@Citrus 我想说的是，我的博客压根就没打算用来帮别人处理问题，只为自娱自乐地装逼炫酷。自己的东西想怎么玩就怎么玩吧。追求满分也就满足一下自己的成就感。

这个跑分是干嘛的的。。

我只有 F 。。。。。

https://blog.smemo.info 用了 wosign 免费的。。。自己记东西用

mark 一下.回头试试.

https://www.ssllabs.com/ssltest/analyze.html?d=cnlic.com&latest
也搞成了 A+

奇怪，我完全参照楼主的教程，只有一个 B 。

找出问题了， www 的我做了跳转，但也要配置这些设置。

# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;

只有 A 没有 A+的 nginx 中增加 HSTS 头就可以了