Nginx SSL 憑證加分的設定調整

Nginx 的 HTTPS (SSL) 設定在此篇文章已經有寫：Nginx 的 SSL 設定檔範例

但是遇到某些瀏覽器、某些 Android 手機還是出現憑證不安全的訊息，把HTTPS網址資訊送去檢驗，得到的憑證分數是B，所以來把這個憑證分數調成A。

註：調整成A後，目前確實暫時沒有出現不安全的訊息了。

Nginx SSL 憑證加分的設定調整

憑證的檢驗網站：SSL Server Test (Powered by Qualys SSL Labs)

此篇文章並沒有把所有問題都解決掉，而且也不是說分數B就會有問題，例如下述公司分數是B，但是也都跑得好好的。

• Google 的分數也都是B：SSL Server Test: google.com (Powered by Qualys SSL Labs)

Nginx SSL 憑證設定加強部份

設定排除 SSLv2、SSLv3

這個部份之前這篇寫過，在此就不詳述，請參考此篇即可：Apache2 與 Nginx 移除 SSLv2、SSLv3 支援

Chain issues

憑證如果有 Chain issues，在前面 bundle 的步驟，可能漏掉，所以記得把抓下來的憑證整合成一張(Apache 不用整合，而是有 SSLCertificateChainFile 設定。Nginx 只有 CA 和 Key 兩個參數可以設定，所以要記得整合)

1. 憑證合併：
   • $ cat www.example.com.crt bundle.crt > www.example.com.chained.crt
   • 範例：$ sudo cat ssl.feebee.com.tw.crt ssl.feebee.com.tw.ca-bundle > ssl.feebee.com.tw.chained.crt
   • 註：crt 和 bundle 會從 SSL 廠商取得(抓到)
2. Chain 設定：
   • 設定參考：Configuring HTTPS servers
     • sslcertificate www.example.com.chained.crt;
       
     • sslcertificate_key www.example.com.key;

Weak Diffie-Hellman and the Logjam Attack

說明可見：

• Weak Diffie-Hellman and the Logjam Attack
• Logjam: PFS Deployment Guide

解法：(取其一即可)

• $ sudo openssl dhparam -out dhparams.pem 2048
• $ sudo openssl dhparam -out dhparams.pem 4096
• 產生出 dhparams.pem 跟憑證放在一起即可。
• Nginx 寫憑證的設定檔，加入此行即可：ssl_dhparam /etc/nginx/ssl.crt/dhparams.pem; (此路徑請自行更換成檔案放的位置)

HSTS (HTTP Strict Transport Security)

說明可見：(這步驟非必要，我只有上部份機器)

• HTTP Strict Transport Security
• HTTP強制安全傳輸技術
• 這會強制 Domain 下面的所有內容都走 HTTPS，但是這個請自行評估是否有其它問題。

作法：

Nginx 在設定檔內加入下述：

add_header Strict-Transport-Security max-age=31536000;

Apache2 需要下述步驟：

1. sudo a2enmod headers
2. 編輯 VirtualHost 的設定檔，加入下述：
   Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
3. 再來重新啟動 Web server 即可。

上述加完後，Nginx 的設定檔會長這樣子：

參考網頁

• ssl - How to fix 'logjam' vulnerability in Apache (httpd)
• nginx - SSL/TLS: How to fix "Chain issues: Contains anchor"
• 驗證：SSL Server Test: ssl.feebee.com.tw (Powered by Qualys SSL Labs)