宝塔面板开启支持TLSv1.3和A+的评分方法

原由:

公司项目需要对接第三方平台,在检测后发现SSL版本不对,需要TLSV2.0以上的版本,反馈如下:

漏洞:   TLS弱协议(1.0,1.1)
IP:https :   //abc.abc.com/
Appkey:   110153
接线员:   myo.soe@lazada.com
状态:   打开
严重程度:   中等
描述:  
远程服务器提供了弃用的TLS 1.0协议,这可能导致漏洞。
https://webkit.org/blog/8462/deprecation-of-legacy-tls-1-0-and-1-1-versions/ 
https://security.googleblog.com/2018/10/modernizing-transport- security.html 
https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls/ 
https://blogs.windows.com/msedgedev/2018/10/15/modernizing -TLS边缘-IE11 /
风险:  
现代浏览器不支持过时的协议。有些配置也不安全。
提案:  
在1.2之前禁用对所有TLS版本的支持。
基于HTTP的流量应仅使用TLS 1.2或更高版本。
信息:  
禁用TLS 1.0 https://www.ssllabs.com/ssltest/analyze.html?d=abc.abc.com&latest

以下方法将完美解决以上问题:

准备工作:

确定服务器为 Centos7.X 系统。(因为小编服务器是线上运行的服务器为 7.4 7.X 系统以下未测试!)

服务器环境为宝塔。(如果是新安装系统移步宝塔官网: https://www.bt.cn

WEB 软件为 Nginx1.15 (必须编译安装,有以前安装宝塔有可能 1.15 配置好 ssl1.3 检测依然不是 )

服务器可以 SSH 连接。

所有步骤都截图,只需要按照步骤好:

一定是最新版本的宝塔面板(6.8.5)一定是nginx1.15

站点有很多ssl的站点,一个一个修改站点配置文件的20行代码修改如下,(注:是所有的开启了ssl的网站!!!)

注意:SSL的检测规则是从低版本到高版本,检测顺序是:TLSv1 TLSv1.1 TLSv1.2  TLSv1.3

所有如果要强制使用TLSv1.2,则按下面的配置:

ssl_protocols TLSv1.3  TLSv1.2;

这样设置过后,站点就支持 1.3 了,如果想达到 A+ 的评分请修改 nginx 的配置文件,在配置文件 22 加入下列代码:

add_header Strict-Transport-Security "max-age=31536000";

以上配置完以后记得重启Nginx服务:

Service nginxrestart

通过以下网站验证SSL:

https://myssl.com

如下图:

到这里宝塔面板的 ssl1.3 A+ 的评分已经完成
注:有些朋友更新后检测还是不支持 TLSv1.3 ,是因为你的网站还有其他 ssl 的配置文件未修改,所以检测还是显示不支持 TLSv1.3 ,建议所有网站 ssl 配置都改成 TLSv1.3 .

以下是检测后还是不是 TLSv1.3 请看下面最为快速的支持 TLSv1.3 如下

1. 进入宝塔的 ssl 目录:

cd  /www/server/nginx/src/openssl/

2. 更新套件:

curl https://raw.githubusercontent.com/hakasenyang/openssl-patch/master/openssl-equal-1.1.1_ciphers.patch| patch -p1

curlhttps://raw.githubusercontent.com/hakasenyang/openssl-patch/master/openssl-ignore_log_strict-sni.patch| patch -p1

service nginx restart

再通过https://myssl.com 检测  

我来评几句
登录后评论

已发表评论数()

相关站点

热门文章