带你2分钟实现安全评级A+的nginx配置动态生成

带你2分钟实现安全评级A+的nginx配置动态生成

事情呢要从上面这个图片说起，配置好https之后，兴奋的用Qualys SSL Labs扫描下，嘿呀，看到上面的图片，安全等级竟然是F, 心里拔凉拔凉的，难道是姿势不对么，还是因为没有认真阅读官方文档，今天给大家讲下如何配置nginx实现SSL/TLS安全评估达到`A+``。

评分级别

PS: 这是一个多方面综合的评级，这个评分不单单是针对证书， 还涉及到SSL协议、加密套件、漏洞、不安全的外链, (上面图片和这句话摘自myssl[1])

nginx配置生成

nginxconfig.io

nginxconfig.io[2]

很多时候配置nginx的时候，可能是因为时间，可能是因为精力等问题，上来就cc, cv操作，到最后发现里面有很多坑的时候再去扒官方文档，然后一把辛酸泪。。。。

其实你跟高手之间只是缺少一个nginxconfig.io, 使用nginxconfig.io可以傻瓜式的生成所需的配置文件，需要注意的是，nginxconfig.io生成的配置文件拆分的比较细，可能很多公司使用nginx配置的时候是是all in one或者是把proxy和upstream拆分开来，具体看使用的场景吧

ssl-config.mozilla.org

如果你依旧嫌弃nginxconfig.io麻烦，那就使用ssl-config.mozilla.org， 足够简单粗暴

配置之后应该怎么办

配置好之后需要校验下配置的好与坏，俗话说:"是骡子是马，拉出来溜溜"，这个时候需要祭出前面我们提到的Qualys SSL Labs来一发，看看真实情况如何

Qualys SSL Labs[3]

相关站点和文档

nginxconfig.io[4]

Qualys SSL Labs[5]

ssl-config.mozilla.org[6]

nginx-demo[7]

总结

虽然说起来nginx配置并不复杂，但是也没有想象中的那么简单，一个小小的错误，就有可能引起无限大的故障，安全无小事，配置需谨慎。

引用链接

[1] myssl: https://blog.myssl.com/https-security-compatibility-best-practices/#a [2] nginxconfig.io: https://www.digitalocean.com/community/tools/nginx [3] Qualys SSL Labs: https://www.ssllabs.com/ssltest [4] nginxconfig.io: https://www.digitalocean.com/community/tools/nginx [5] Qualys SSL Labs: https://www.ssllabs.com/ssltest [6] ssl-config.mozilla.org: https://ssl-config.mozilla.org/ [7] nginx-demo: https://www.nginx.com/resources/wiki/start/topics/examples/full/