目前大部份的網站都導入了https

在作這個網站的大更新前

當然也是有照著"當時"的標準來施作

因為在協定的安全部份會一直更新，當然也必需要追隨著新的規定

先前往 https://www.ssllabs.com/index.html 看一下分數

當然結果是還可以的

唯獨缺了一項

這個算是簡單可以解決

當初在建立nginx時，並沒有放入DH 這個選項，所以成了可以改善的項目

先使用指令建立

openssl dhparam -out dhparams.pem 4096

再於您的nginx config 的 server 段加入

ssl_dhparam /etc/nginx/ssl/dhparams.pem;

以上，請記得修改成您的路徑，並為了安全，也請修改file owner

當然…如果想一次弄到最好

請加入HSTS這個選項，請參考HSTS

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains";

這樣就有"目前"完美的A+

• Prev
• Next