[筆記] 提昇 VestaCP SSL的安全性,解決Weak DH問題

裝好 VestaCP ,朋友就幫我測了 SSL 的狀況,結果在 GlobalSign 測試只有 B ,研究了一下發現這被稱為 Weak DH 。網路上就有個叫做 weakdh.org  的網站協助使用這解決這個問題,我也找到了解決方法,完成後分數可以到 A+ 唷XDD。

解決 Weak DH

因為預設的 Diffie-Hellman (這是什麼我也不知道XDDDDD)加密方法只有 1024-bits,自己產生一組大於2048-bits的key就OK了~。

 

在指令前建議先切到 root 再操作,不然可能會遇到權限不足無法寫入的問題,這指令可要花不少時間:

openssl dhparam -out /etc/nginx/dhparams.pem 4096

完成後需要修改 nginx 的設定(/etc/nginx/nginx.conf),找到字串 ssl_ 的部份,在 ssl_ciphers 後面加上:

ssl_dhparam         /etc/nginx/dhparams.pem;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";

 

存檔後,重新載入 nginx 設定:

nginx -s reload

可以先去 weakdh.org 測試一下:

再去 GlobalSign 測試看看,應該就 A+ 啦~XD

關於 富源

一名臺東大學資訊工程學系畢業的學生,目前就讀於交通大學資工研究所,這個網站用來紀錄一些不常用,但很重要、會忘記的事情。我的興趣是寫一些實用向的程式,最常使用的程式語言是 Python。 歡迎各位交流!

2 Comments

  1. 寫得真好! 產生大key之前是否要先更新openssl的版本?
    你是用Debian8還是Ubuntu16.04?

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *