站点图标 IDC铺

基于宝塔windows面板开启TLS 1.3且设置DNS CAA和DNSSEC实现SSL评分A+

我们一般给网站项目安装SSL证书是如何安装部署的?直接WEB环境自带的部署实现HTTPS。老蒋相信大部分人肯定是有这样的部署方式的,包括我也是这样子的。实际上,我们部署之后,虽然看到的是绿锁,但是根据SSL的评分工具可能你看到的并非是A+评分,而是B或者是B+。

主要原因是默认的一些工具自动安装SSL还是采用的是TLS 1.1,而如今应该是使用TLS 1.3,所以我们需要重新手动配置TLS 1.3,删除TLS 1.1实现。我们一起来完成看看吧。我们有些朋友是不是发现早期网站安装HTTPS速度是不是有感觉到慢,但是TLS 1.3的时候速度已经比以前快很多和不安装HTTPS差不多。

这里,小编直接用宝塔面板做示范。

我们需要到当前站点的配置文件中检查SSL。 ssl_protocols 这个参数中是否有1.3,默认如今是已经有的。我们也可以将1.1删除掉。如果没有的话,需要在最后加上TLSv1.3。

开启之后,我们去测试看看。

果不其然,不测不知道,一测试是不是看到我们的SSL评分才B级,是不是已经感觉需要修改。有人要说,这个B级别和A级别对网站有没有多大的影响呢?对于HTTPS实现方式没有影响,但是如果能调优到A+,那肯定在速度和性能上比B强。

这里只保留TLS 1.3,而且修改 ssl_ciphers。

ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:!MD5;

然后保存。然后我们再检测一下。


这次已经到A级别,已经很不错的,但是还不够好。

这里我们可以看到DNS CAA有问题,需要调整。如果我们要求不是特别完美,A级别也是可以的。这里我们可以根据需要选配。

这里需要借助工具设置。
工具:https://sslmate.com/caa/

输入域名,点击Auto-Generate Policy。然后找到Publish Your CAA Policy。

看到这个CAA解析,我们添加到域名解析。

这里我们设置之后再测试评分,还是A,那其实我们还需要设置HSTS Preload。

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

我们需要在当前站点.CONF文件中添加代码。(HTTPS 配置的 server 模块)

我们再检测看看。这里有个小错误,add_header有和上面默认的重复,删除上面一个,保留新的。

就这样,我们就可以将SSL证书评级设置调整到A+。

在过程中,我们需要设置TLS 1.3,以及DNS CAA等设置。

退出移动版