我已经从Comodo购买了一个证书,我在他们的网站上关于如何在我的nginx上configuration证书的文章 。 问题是,这个configuration,主要是密码列表,是最新的吗?
#enables all versions of TLS, but not SSLv2 or 3 which are weak and now deprecated. ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #Disables all weak ciphers ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256: ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256: DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA: ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384: AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA: AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL: !EXPORT:!DES:!MD5:!PSK:!RC4"; 文章date是2011年7月27日16:28,已经快四年了。
它的年龄相当不错。 我已经发现了一个关于Web服务器安全性的好网站, Cipherli.st提供了非常安全的configuration的现代configuration(与旧的客户端不兼容),还有一系列的遗留选项,所以你可以支持旧的浏览器(IE <9, Android <2.2或Java <6)。
当您想testing您的configuration以查看与各种浏览器,支持的密码和各种安全选项的兼容性时,Qualys的SSL服务器testing非常有帮助。