首页 网建技术 基于宝塔windows面板开启TLS 1.3且设置DNS CAA和DNSSEC实现SSL评分A+

基于宝塔windows面板开启TLS 1.3且设置DNS CAA和DNSSEC实现SSL评分A+

我们一般给网站项目安装SSL证书是如何安装部署的?直接WEB环境自带的部署实现HTTPS。老蒋相信大部分人肯定是有这样的部署方式的,包括我也是这样子的。实际上,我们部署之后,虽然看…

我们一般给网站项目安装SSL证书是如何安装部署的?直接WEB环境自带的部署实现HTTPS。老蒋相信大部分人肯定是有这样的部署方式的,包括我也是这样子的。实际上,我们部署之后,虽然看到的是绿锁,但是根据SSL的评分工具可能你看到的并非是A+评分,而是B或者是B+。

主要原因是默认的一些工具自动安装SSL还是采用的是TLS 1.1,而如今应该是使用TLS 1.3,所以我们需要重新手动配置TLS 1.3,删除TLS 1.1实现。我们一起来完成看看吧。我们有些朋友是不是发现早期网站安装HTTPS速度是不是有感觉到慢,但是TLS 1.3的时候速度已经比以前快很多和不安装HTTPS差不多。

这里,小编直接用宝塔面板做示范。
基于宝塔windows面板开启TLS 1.3且设置DNS CAA和DNSSEC实现SSL评分A+插图

我们需要到当前站点的配置文件中检查SSL。 ssl_protocols 这个参数中是否有1.3,默认如今是已经有的。我们也可以将1.1删除掉。如果没有的话,需要在最后加上TLSv1.3。

开启之后,我们去测试看看。
基于宝塔windows面板开启TLS 1.3且设置DNS CAA和DNSSEC实现SSL评分A+插图1
果不其然,不测不知道,一测试是不是看到我们的SSL评分才B级,是不是已经感觉需要修改。有人要说,这个B级别和A级别对网站有没有多大的影响呢?对于HTTPS实现方式没有影响,但是如果能调优到A+,那肯定在速度和性能上比B强。
基于宝塔windows面板开启TLS 1.3且设置DNS CAA和DNSSEC实现SSL评分A+插图2
这里只保留TLS 1.3,而且修改 ssl_ciphers。

ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:!MD5;

然后保存。然后我们再检测一下。

基于宝塔windows面板开启TLS 1.3且设置DNS CAA和DNSSEC实现SSL评分A+插图3
这次已经到A级别,已经很不错的,但是还不够好。
基于宝塔windows面板开启TLS 1.3且设置DNS CAA和DNSSEC实现SSL评分A+插图4

这里我们可以看到DNS CAA有问题,需要调整。如果我们要求不是特别完美,A级别也是可以的。这里我们可以根据需要选配。

这里需要借助工具设置。
工具:https://sslmate.com/caa/
基于宝塔windows面板开启TLS 1.3且设置DNS CAA和DNSSEC实现SSL评分A+插图5
输入域名,点击Auto-Generate Policy。然后找到Publish Your CAA Policy。
基于宝塔windows面板开启TLS 1.3且设置DNS CAA和DNSSEC实现SSL评分A+插图6
看到这个CAA解析,我们添加到域名解析。
基于宝塔windows面板开启TLS 1.3且设置DNS CAA和DNSSEC实现SSL评分A+插图7
这里我们设置之后再测试评分,还是A,那其实我们还需要设置HSTS Preload。

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

我们需要在当前站点.CONF文件中添加代码。(HTTPS 配置的 server 模块)
基于宝塔windows面板开启TLS 1.3且设置DNS CAA和DNSSEC实现SSL评分A+插图8
我们再检测看看。这里有个小错误,add_header有和上面默认的重复,删除上面一个,保留新的。
基于宝塔windows面板开启TLS 1.3且设置DNS CAA和DNSSEC实现SSL评分A+插图9

就这样,我们就可以将SSL证书评级设置调整到A+。

在过程中,我们需要设置TLS 1.3,以及DNS CAA等设置。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。

作者: 小小编

为您推荐

SSH的使用详解

SSH的使用详解

今天小编为大家分享一篇关于SSH 的介绍和使用方法的文章。本文从SSH是什么出发,讲述了SSH的基本用法,之后在远程登录...
宝塔linux面板安装软件错误:宝塔面板检测到系统目录不可写。解决方法

宝塔linux面板安装软件错误:宝塔面板检测到系统目录不可写。解决方法

错误:宝塔面板检测到系统目录不可写。 1、安装了宝塔系统加固,请先关闭; 2、安装了云锁,请关闭系统加固功能; 3、安装...
宝塔linux面板node.js项目服务器重启丢失,pm2列表被删除清空解决方案

宝塔linux面板node.js项目服务器重启丢失,pm2列表被删除清空解决方案

宝塔linux面板node.js项目服务器重启丢失,pm2列表被删除清空解决方案 近期由于服务器异常重启,发现node....
宝塔linux面板 apache网站访问报错503 Service Unavailable解决

宝塔linux面板 apache网站访问报错503 Service Unavailable解决

宝塔linux面板 apache网站访问报错: 503 Service Unavailable Service Unav...
宝塔windows面板apache开启Gzip压缩方法

宝塔windows面板apache开启Gzip压缩方法

感谢网友安好反馈问题,经检查少写一个模块导致开启后apache无法启动 2018/05/18更正 第1步 apache配...

发表回复

返回顶部