Настройка Let's Encrypt
Настройка Let's Encrypt
Известный сервис проверки сертификатов https://www.ssllabs.com сходу после установки выдает не лучший результат (B), фактическое влияние на что либо для меня не наблюдаю, но все же, вопрос интересный. У кого есть опыт поднятие уровня - поделитесь пожалуйста.
Начать хотел бы со скорости текущая длина ключа 4096 bit, есть информация что уменьшение его в 2 раза не влияет ни на что, кроме ускорения. Уменьшал его кто/как ?
Начать хотел бы со скорости текущая длина ключа 4096 bit, есть информация что уменьшение его в 2 раза не влияет ни на что, кроме ускорения. Уменьшал его кто/как ?
Re: Настройка Let's Encrypt
B... это еще не плохо, но для А рейтинга нужно немного постараться
Небольшой гайд по конфигу:
https://github.com/skurudo/nginx-a-plus-config-parts
PS: на рейтинг может повлиять, в реальности - мало на что влияет. В будущем человеку-по-середине может быть слегка проще разве что.
Небольшой гайд по конфигу:
https://github.com/skurudo/nginx-a-plus-config-parts
PS: на рейтинг может повлиять, в реальности - мало на что влияет. В будущем человеку-по-середине может быть слегка проще разве что.
Re: Настройка Let's Encrypt
Помимо правок по ссылке ssllabs рекомендует установить DNS CAA
CAA (Certification Authority Authorization) — это новый тип DNS-записи, предназначенный для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного доменного имени или субдомена.
Крупнейшие и наиболее популярные центры сертификации договорились, что начиная с 8 сентября 2017 года в обязательном порядке строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.
Использование CAA-записи позволит повысить уровень безопасности в сети Интернет и сократить случаи неавторизованного получения сертификатов для сторонних доменных имен.
Источник https://habrahabr.ru/post/336738/
Для Let's Encrypt это
example.com. IN CAA 0 issue "letsencrypt.org"
P.S. Рейтинг данная вещь не увеличивает
CAA (Certification Authority Authorization) — это новый тип DNS-записи, предназначенный для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного доменного имени или субдомена.
Крупнейшие и наиболее популярные центры сертификации договорились, что начиная с 8 сентября 2017 года в обязательном порядке строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.
Использование CAA-записи позволит повысить уровень безопасности в сети Интернет и сократить случаи неавторизованного получения сертификатов для сторонних доменных имен.
Источник https://habrahabr.ru/post/336738/
Для Let's Encrypt это
example.com. IN CAA 0 issue "letsencrypt.org"
P.S. Рейтинг данная вещь не увеличивает
Re: Настройка Let's Encrypt
Мне хватило вот тех вещей что выше написанны для получения А+,правда я так где-то в инете находил и делал.Давно это было,года 2-3 тому назад.Правда вставка у меня имеет такой вид
и этого вполне хватает для А+...dhparam.pem сгенерировал консолью,потом просто положил куда указан путь и все.
Code: Select all
resolver 8.8.8.8 8.8.4.4;
resolver_timeout 10s;
spdy_keepalive_timeout 300;
spdy_headers_comp 9;
ssl_stapling on;
ssl_stapling_verify on;
ssl_dhparam /home/admin/conf/web/dhparam.pem;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
Re: Настройка Let's Encrypt
Да, что бы получить A+ на самом деле достаточно и меньшего, например можно без ssl_dhparam обойтись, его не стал генерировать получит A. До A+ мне не хватает add_header Strict-Transport-Security поскольку сайт переезжает с http его ставить сразу(до полной склейки зеркал ПС) не рекомендуется. Гугл так же рекомендует
https://support.google.com/webmasters/a ... 3543?hl=ruПостепенно увеличивайте значение директивы max-age в заголовках HSTS.