推荐一个网站测试网站的https的安全性: https://myssl.com。比如测试下面的网站如下:
评级只有5,myssl给的理由为:服务器易受到POODLE漏洞攻击,降级为5。POODLE漏洞为使用了不安全的sslv2和sslv3协议导致, 将协议去掉了,评级还是为5。后面测试原来是由于该服务器的其他站点仍支持sslv2,sslv3导致。于是去掉sslv2和sslv3协议的支持后:
这里升级的原因,主要还是用更高的标准要求,也许百度等引擎对安全级别更高的站点会比安全级别低的站点青睐些吧,否则好的东西不鼓励,那没法玩了。
如果你也需要配置, 请参考myssl.com的测试参考配置:
配置指南:
1. 需要配置符合PFS规范的加密套件,推荐配置:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE ;
2. 需要在服务端TLS协议中启用TLS1.2,推荐配置:TLSv1 TLSv1.1 TLSv1.2 ;
3. 需要保证当前域名与所使用的证书匹配;
4. 需要保证证书在有效期内;
5. 需要使用SHA-2签名算法的证书;
6. 需要保证证书签发机构是可信的CA机构。
7. HSTS(HTTP严格传输安全)的 max-age 需要大于15768000秒。