让互联网更安全 —— 配置好自己的 HTTPS

头像真吓人

仅仅只有 https 不够吧。

还要 DNSSEC

看了一眼那个 https 配置感觉似乎有一些问题， spdy 不要用了，改成 http2 吧，另外 OCSP 装订那里，要做一个 ssl_stapling_verify ，以及你用的 8.8.8.8 的 resolver 对国内用户不太友好的，建议增加一个国内的 resolver

@anjunecha 感谢你的回复。

@ivmm 当然不够，对于普通站长，真的有能力有能力来部署 DNSSEC 吗？

1. nginx 1.9 以后已经不支持 SPDY 了，只能 HTTP/2
2. ssl_ciphers 里， ECDHE-ECDSA 应该优先于 ECDHE-RSA 。当然，没有 ECC 证书 ECDSA 就是白搭。如果用了 1.11 的新特性 双证书，那 ECDSA 必须优先 RSA 。
3. Strict-Transport-Security includeSubdomains 这种大坑，不详细说清楚，让别人随便配，那真是无底坑了

只用 apache 。。。

@m31271n 就只能等越来越多的 DNS 解析商去支持了，一般没有站长用自己服务器去做 DNS 解析的吧……

HSTS 是有点坑， lz 要谨慎配置，建议 lz 把 include Subdomains 这个配置字段去掉，如果子域需要的话每个子域单独配

@anjunecha @lhbc
感谢你们提出的意见，已经更新。

1. spdy 更新为 http2
2. 添加 ssl_stapling_verify on;
3. resolver 新添国内 114 和 阿里 DNS
4. 为 HSTS 的大坑进行注释。

但是还有一个问题不解，考虑到安全和兼容性，现在 ssl_cipher 的推荐设置是什么？

@anjunecha 确实是，已经去掉了。

@ZE3kr 嗯。愿早日实现大一统。

我就问下，我区区一个博客站，真的有必要用 https 吗？？遇到系统时间不对的还没法显示

@m31271n 配置的话不同的 Nginx 和 OpenSSL 可能不同， Mozilla 有一套推荐，分为 Old 、 Intermediate 、 Modern ，看你需要的兼容性， Intermediate 就能够被评为 A+ 了。

https://mozilla.github.io/server-side-tls/ssl-config-generator/

nginx 1.10.0 | intermediate profile | OpenSSL 1.0.2g （ Ubuntu 16.04 就是这个）

ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';

或者 CloudFlare 的配置 https://github.com/cloudflare/sslconfig/blob/master/conf

ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

@m31271n ssl_cipher 这个不一定，看你的证书类型， nginx 版本，以及需要兼容的浏览器等等，你可以去 stackoverflow 上查一查

@McContax 没必要。

@ZE3kr @anjunecha 感谢，已经更新相关配置并添加了注释。

@anjunecha 能加你交个朋友吗？ 我 QQ:2248227

小哥你这东西好。

@greatghoul ;)

@anjunecha 看介绍 HSTS 不是安全性更高吗，坑在哪呢？

坑在 `includeSubdomains`，如果开了这个，所有的子域都会使用 HTTPS 。

@yytsjq

我之前也想把 acme.sh Docker 化，还有一个疑问是更新证书后如何通知 nginx reload configure?

@m31271n 请教楼主,看了楼主的配置文件， https 之间如何 301 呢，比如像 https://xxx.com 如何重定向到 https://www.xxx.com ，我有个开启 https 的站点无法这样跳转， http 之间倒是可以跳转

@m31271n rage4

@InFaNg 这是啥意思。

@dasenlin https://bpaste.net/show/2d5cd877fdaa

@dasenlin HTTPS A 站 -> HTTPS B 站，两个都配置好证书就行了。

@shiny 还一直以为 nginx 会自动重新读取证书而不用 reload ，看来我并没有考虑周全。

@m31271n 所以 ame.sh 有个 reloadcmd 参数，但跨容器就不好处理了。

@shiny 不过，倒是想到了一个办法 —— 在 Nginx 容器中使用 inotifywait 这种文件状态检测工具来监测证书变化，证书一旦变化了就重载 Nginx 。（这个办法你觉得如何？）

@m31271n 这个配置的标准名称，是 includeSubDomains 。注意， Domains 的 D 得大写（推荐配置）。
includeSubdomains 已经 deprecated 了

@m31271n 听上去可行，建议补充到您的这个项目里，那就解决了我面临的问题了 :D

@shiny 这个是得在你的 Nginx 容器中实现的。

HTTPS 怎么够，你还需要如下选项：

0.HSTS ，个人 HTTPS 站点必备，很多企业站也上线了 HSTS 。谷歌也搞了一个 HSTS Preload List ，任何被登记在这个 list 里面的站点会直接用 https 链接，避免 fallback 风险。当然这个列表 Firefox 、 Edge 也兹磁。

1.DNSSEC ，虽然我兔境内 DNSSEC 部署几乎等于没有，只有 CNNIC 一家。但有总比没有好， DNSSEC 本身就是用于对抗 DNS 污染的。不过需要用户操作系统还有 DNS 服务器兹磁。目前 DNSSEC 在大多数国别域名以及 gTLD 已经部署，各个根服务器组也已部署了 DNSSEC 兹磁。越来越多的域名注册商、 DNS 服务商开始提供 DNSSEC 的兹磁了。

2.HPKP ，这个东西用来防止伪造证书进行中间人攻击，通过 HPKP 头设置指定证书（可以包括域名证书、中间证书或者根 CA 证书）的 fingerprint ，来检验是否为此服务器使用证书，以避免中间人攻击。

3.DANE ，这个玩意其实和 HPKP 差不多，都是验证证书的机制，但是这个是基于 DNSSEC 的，实现不如 HPKP 优雅。但是适配范围更广。包括 TCP 、 UDP 等，不仅仅是 HTTPS 。所兹磁的 SSL 证书也不仅限定于正规 CA 签发的证书，也包括自签名证书。

4.Certificate Transperency ，这个被成为证书透明度的东西一直没搞懂是如何发挥作用的。但是据窝的观察，应该是判断证书是否可信的一个机制。当然， CT 依赖于 SCT 服务器……

另外暴力膜一下……

BroncoTc ：
网络上的 https 和 http 相比，加了一个 s 有什么用？ http+1s 比 http 安全吗？
我不是运维工作者，但我见得多了，我觉得我作为一个贴膜专家兼前国家二级赛艇运动员，有必要跟你们分享一点网络协议方面的人生经验。
一个网站的安全呀，不仅需要在应用层面添加必要的防护，更要从网络协议层面上考虑架构的合理性。
毫无疑问， HTTPS 正是这样一种既兼顾了应用层面的奋斗，又考虑了架构合理性的新理念，它代表了先进生产力的发展要求，代表了先进文化的发展方向，代表了最广大码农的根本利益。
所以，一个没有+1s 的网站，可能被运营商劫持，可能被黑客攻击，可能有很多种不幸的可能。但是当网站+1s 之后，一切烦恼就结束了。用上海知名气象学家徐嘉诰的话说就是，本来天气预报今天有黑客攻击， https 一来，万里无云。
不知道你想过没有，为什么程序员天天加班到没时间，但在续命的问题上却有莫大的热情呢？因为他们真切的体会到了+1s 的好处
http=（ h ） a （ t ） oo young （ t ） oo sim （ p ） le ？

@wql 嗯。已更改。

@m31271n 我指你可以在文档注明 reload 方式或者提供一些帮助或者脚本，这个项目在独立容器里当然无法处理。

@shiny 了解。 Wink! Wink!

小哥好厉害

很好奇为什么是 A-

其实用 CloudFlare 很无痛没烦恼，只是一般网站仍需要去处理路径上的问题。

@lan894734188 查看 SSL Server Test 的结果，看看如何修复。

他的官网： https://letsencrypt.org/ 的证书为何不是自己的？