标签： NGINX

近期，博客服务器由阿里云华北区迁移至阿里云华南区，并启用了阿里云的 OSS 对象存储和 CDN 节点加速，系统由Ubuntu 14.04 升级至 Ubuntu 16.04 并打上所有安全补丁，采用全站 HTTPS 安全连接。因此在迁移前，SSL 评估时得分为 B 以下，因为OpenSSL版本低，导致安全性不足，此次迁移后索性通过 SSL Labs 和 MySSL 两个 SSL 安全评估站点对自己的网站进行了检测，发现得分为 A。但仍有一些配置可以优化，本篇文章就记录一下我是如何配置 Nginx 中的 SSL，提升其安全性。本文需要一定的 SSL 配置基础，在此之前请确认你的 Web 服务器已经开启了 HTTPS。

简要介绍

HTTPS：我们简单地可以认为是 HTTP + TLS。HTTP 协议目前已经广泛地运用在大部分的 Web 应用和网站，随着线上支付、移动支付越来越流行，对网络传输安全要求也提升了不少。

TLS：是一种传输层加密协议，它的前身是 SSL 协议，于 1999 年正式更名为 TLS 。TLS 协议主要有五部分：应用数据层协议，握手协议，报警协议，加密消息确认协议，心跳协议。

目前常用的 HTTP 协议是 HTTP 1.1，前几年还有 HTTP 1.0，如今 HTTP 2 已经推出，但目前设备支持还需要点时间。

常用的 TLS 协议版本有：TLS1.2，TLS1.1，TLS1.0 和 SSL3.0。其中 SSL3.0 由于 POODLE 攻击已经被证实不安全。TLS1.0 也存在部分安全漏洞，比如 RC4 和 BEAST 攻击。 继续阅读 “Nginx + SSL 的配置优化”