자유게시판자유게시판 "자유"
자유

let's encrypt 인증서 발급받고 등급테스트(?) 했는데...

?
몰라도될껄?
조회 수 344 추천 수 0 댓글 6
크게 작게 댓글로 가기
크게 작게 위로 아래로 댓글로 가기

https://www.ssllabs.com/ssltest/  여기서 등급(?) 테스트를 했는데... A가 나왔네요 ㅎ

도메인 나오게 하려고 했는데... 딱히 개인사이트라 표시는 안했습니다.

 

그나저나 A+는 어떻게 해야 나오려나..ㅠㅠ 다른사이트는 A+ 도 나오던데 ㅠㅠ

제목 없음.png

 

 

위로 아래로
댓글 6
  • Lv30
    https 만 사용을 강제하는 hsts 설정을 서버측에 해주시면 A+ 가 나옵니다. 절대 http는 사용가능하지 않게 하는거죠.
  • Lv8
    Nginx 에서는 https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-14-04
    여기 Step3 바로 전에 Generate Strong Diffie-Hellman Group 부분 적용하시면 될꺼구요.

    Apache에선 위에 방법도 되는지는 모르겠고...
    .htaccess에 HSTS 적용(?)하면 A+ 줍니다.

    왜 주는지는 모릅니다.... @_@

  • nginx 에 letsencrypt 인증서입니다. 웹지기님 말씀대로 hsts 활성화 해놓은 상태입니다.

    ccc.png

     

  • server {
        listen 80;
        server_name www.zzori.net zzori.net;

        return 302 https://www.zzori.net;
}

server {
        listen 443 ssl http2;
        server_name www.zzori.net;

        root /home/zzori/www.zzori.net;
        index index.php index.html index.htm;

        client_max_body_size    50m;
        keepalive_timeout       70;

        ssl on;

        ssl_certificate         /etc/letsencrypt/live/www.zzori.net/fullchain.pem;
        ssl_certificate_key     /etc/letsencrypt/live/www.zzori.net/privkey.pem;

        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 5m;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE
-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-A
ES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-R
SA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PS
K:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

        ssl_prefer_server_ciphers on;

        ssl_dhparam /etc/nginx/cert/dhparams.pem;
        resolver 8.8.8.8;
        ssl_stapling on;
        ssl_trusted_certificate /etc/letsencrypt/live/www.zzori.net/cert.pem;

        add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";

        access_log /var/log/nginx/www.zzori.net.log;
        error_log /var/log/nginx/www.zzori.net.err.log;

    location ~ \.php$ {
        fastcgi_pass   unix:/var/run/php/php7.0-fpm.sock;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        include        fastcgi_params;
    }

    location ~ /\.ht {
       deny all;
    }

    include /etc/nginx/global/xe.conf;
}

     

  • Lv37

    인증서 브랜드와 SSLLabs 등급은 무관합니다. 위에 놀리지마유님처럼 서버 설정을 잘 하셔야...

     

    인증서는 인감증명서예요. 우리 동네 동사무소에서 떼든 옆동네 동사무소에서 떼든 효력은 똑같아요. 인감을 어디에 어떻게 찍느냐가 중요하죠. 잘못 찍으면 집이 날아갈 수도 있으니 ㄷㄷㄷ

  • 와.. 서버 설정 잘하셨네요..