网站配置好SSL以后,使用Google Chrome、360等浏览器访问时提示 您与xxx之间的连接采用过时的加密套件进行了加密。

而正常情况是:您与 xxx 之间的连接采用了新型加密套件进行了加密。

是不是非常不爽呢?

建议先到这里测下你的网站SSL安全性能评分:
https://www.ssllabs.com/ssltest/analyze.html

Apache服务器:
打开:httpd-ssl.conf(关于ssl的配置文件),

修改/添加以下参数(如果有,去掉注释用的#号,直接改,没有的手动添加):

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLSessionTickets Off

说明:第一行为SSL套件方式,前面的优先,后面的做兼容(如果你想让Chrome识别为新型,只需要改这个就行)。

按照原文档说明,还建议添加

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

如果你还做了后面的设置,包括HSTS,那么你可以获得A+的评价。

而使用IIS服务器咋办呢?

Windows2003不支持TLS1.1 1.2,这绝对是不行的。
Windows2008r2以上才比较理想。经过研究,需要Windows2012才不会提示过时的加密方式。

或者也可以对Open SSL进行升级改造,有兴趣的朋友看这篇:
Windows下安装OpenSSL及其使用 http://my.oschina.net/vazor/blog/95488

标签: apache, windows, ssl

添加新评论