SSL/HTTPS优化之NGINX配置

配置完成后，先用bin/nginx –t来测试下配置是否有误，正确无误的话，重启nginx。就可以使 https://www.domain.com 来访问了。

server {        listen   80;        listen 443 ssl spdy;  #不兼容80的时候，就不用这个ssl和spdy指定了        server_name www.domain.com; #填写绑定证书的域名        ssl on;        ssl_certificate lvtao.net.crt; #公钥        ssl_certificate_key lvtao.net.key;#私钥        ssl_session_cache shared:SSL:20m; #缓存池  缓存大小设置为 20M，大概能放下 80000 个会话        ssl_session_timeout  10m;  #缓存时间        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #只启用 TLS 系列协议        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE:!kEDH;#按照这个套件配置        #完整参考 ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA:HIGH:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!CBC:!EDH:!kEDH:!PSK:!SRP:!kECDH;        ssl_prefer_server_ciphers on;        #可选 以下三行 启用 OCSP  可以让浏览器更快的获取证书撤销状态        ssl_stapling on;        ssl_stapling_verify on;        ssl_trusted_certificate /etc/nginx/startssl_trust_chain.crt;         #启用 HSTS 用于通知浏览器强制使用 https 通信        add_header Strict-Transport-Security "max-age=31536000";        resolver 8.8.8.8 8.8.4.4;        location / {            root   html; #站点目录            index  index.html index.htm;        }   }

完成设置后可以使用测试网站： https://www.ssllabs.com/ssltest/ 测下自己的得分，本站经过优化前的 D 提升到了 A+。