We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
Настройка Let's Encrypt
Настройка Let's Encrypt
Известный сервис проверки сертификатов https://www.ssllabs.com сходу после установки выдает не лучший результат (B), фактическое влияние на что либо для меня не наблюдаю, но все же, вопрос интересный. У кого есть опыт поднятие уровня - поделитесь пожалуйста.
Начать хотел бы со скорости текущая длина ключа 4096 bit, есть информация что уменьшение его в 2 раза не влияет ни на что, кроме ускорения. Уменьшал его кто/как ?
Начать хотел бы со скорости текущая длина ключа 4096 bit, есть информация что уменьшение его в 2 раза не влияет ни на что, кроме ускорения. Уменьшал его кто/как ?
Re: Настройка Let's Encrypt
B... это еще не плохо, но для А рейтинга нужно немного постараться
Небольшой гайд по конфигу:
https://github.com/skurudo/nginx-a-plus-config-parts
PS: на рейтинг может повлиять, в реальности - мало на что влияет. В будущем человеку-по-середине может быть слегка проще разве что.
Небольшой гайд по конфигу:
https://github.com/skurudo/nginx-a-plus-config-parts
PS: на рейтинг может повлиять, в реальности - мало на что влияет. В будущем человеку-по-середине может быть слегка проще разве что.
Re: Настройка Let's Encrypt
Помимо правок по ссылке ssllabs рекомендует установить DNS CAA
CAA (Certification Authority Authorization) — это новый тип DNS-записи, предназначенный для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного доменного имени или субдомена.
Крупнейшие и наиболее популярные центры сертификации договорились, что начиная с 8 сентября 2017 года в обязательном порядке строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.
Использование CAA-записи позволит повысить уровень безопасности в сети Интернет и сократить случаи неавторизованного получения сертификатов для сторонних доменных имен.
Источник https://habrahabr.ru/post/336738/
Для Let's Encrypt это
example.com. IN CAA 0 issue "letsencrypt.org"
P.S. Рейтинг данная вещь не увеличивает
CAA (Certification Authority Authorization) — это новый тип DNS-записи, предназначенный для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного доменного имени или субдомена.
Крупнейшие и наиболее популярные центры сертификации договорились, что начиная с 8 сентября 2017 года в обязательном порядке строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.
Использование CAA-записи позволит повысить уровень безопасности в сети Интернет и сократить случаи неавторизованного получения сертификатов для сторонних доменных имен.
Источник https://habrahabr.ru/post/336738/
Для Let's Encrypt это
example.com. IN CAA 0 issue "letsencrypt.org"
P.S. Рейтинг данная вещь не увеличивает
Re: Настройка Let's Encrypt
Мне хватило вот тех вещей что выше написанны для получения А+,правда я так где-то в инете находил и делал.Давно это было,года 2-3 тому назад.Правда вставка у меня имеет такой вид
и этого вполне хватает для А+...dhparam.pem сгенерировал консолью,потом просто положил куда указан путь и все.
Code: Select all
resolver 8.8.8.8 8.8.4.4;
resolver_timeout 10s;
spdy_keepalive_timeout 300;
spdy_headers_comp 9;
ssl_stapling on;
ssl_stapling_verify on;
ssl_dhparam /home/admin/conf/web/dhparam.pem;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
Re: Настройка Let's Encrypt
Да, что бы получить A+ на самом деле достаточно и меньшего, например можно без ssl_dhparam обойтись, его не стал генерировать получит A. До A+ мне не хватает add_header Strict-Transport-Security поскольку сайт переезжает с http его ставить сразу(до полной склейки зеркал ПС) не рекомендуется. Гугл так же рекомендует
https://support.google.com/webmasters/a ... 3543?hl=ruПостепенно увеличивайте значение директивы max-age в заголовках HSTS.