调整了一下 HTTPS 配置

之前为了追赶潮流强制启用了一段时间的全站 HTTPS 加密连接,结果发现访问统计中日访问量降低了三到四成。随后在 Webkaka 中测试连通性,发现超过半数的测试点返回了 403 Forbidden 错误。当时还以为是因为防火墙的干扰。后来经过 22EE 的提醒,仔细检查并调整了一下网站的 SSL 配置。现在好多了,至少 Webkaka 的测试不会有 403 错误了。

造成 403 错误的关键在于水景一页原来的 SSL 配置中设置了强制 SNI(Server Name Indication),

SSLStrictSNIVHostCheck on

虽然把上述配置中的 on 改成 off 之后解决了问题,但是具体机制还不清楚。这个只是在 StackExchange 上看到有人提了一下就试了试才发现可行的。看来很多浏览器并不支持这个服务器名称指示的强制检查。

藉此机会,同时更换了一下所使用的 StartSSL 的免费证书的中间证书。因为之前下载的 Intermediate 证书使用 SHA-1 签名,导致 Chrome 一直提示(地址栏 https 前面的锁上显示黄色的三角形)该网站的安全配置弱。更换新的 SHA-2 签名的 Intermediate 证书后,HTTPS 安全在 Qualys SSL Labs 上的检测终于由等级 A 升为了 A+。只是不知道为什么常用的 Chrome 浏览器为什么无法及时更新到我替换后的证书,现在还是显示原来的 SHA-1 加密的中间证书。

另外,还根据 Mozilla 推荐的服务器安全配置调整了 vhost 中的配置。主要是调整了 Ciphersuite 等。现在采用的是是其推荐的中等兼容性设置(Intermediate compatibility)。中等程度的兼容性可以兼容的最旧的客户端为 Firefox 1、Chrome 1、IE 7、Opera 5、Safari 1、Windows XP IE8、Android 2.3 和 Java 7。这里都是按照客户端的默认配置来考量的。对于 Windows XP 上的 IE6,如果手动启用其 TLS 1.0 支持,也可以浏览该设置下的网站。

Mozilla 甚至有个托管在 GitHub 上的项目 Mozilla SSL Configuration Generator,可以根据服务器程序和版本、兼容性级别以及 OpenSSL 版本等自动生成推荐配置的完整配置代码段。

最后,在这里对 22EE 表示感谢,如果没有他的提醒,估计我一时半会儿是不会去仔细检查 SSL 配置的。最近实在太忙了。©

本文发表于水景一页。永久链接:<http://cnzhx.net/blog/adjust-https-configuration/>。转载请保留此信息及相应链接。

10 条关于 “调整了一下 HTTPS 配置” 的评论

    • 想来想去觉得还多半是墙的原因。同一时段做访问速度测试,非加密的平均速度50kB/s左右,而加密的只有2kB/s左右。
      P.S. 你的博客大变样了?

      • 你上次看的是用wp搭的吧?觉得打开速度不快尤其是后台,我就用Ghost发现速度挺快的,况且我就随便写几个字。

            • WP 后台有些功能页面的数据库查询内容比较多,可能会拖慢速度,但是并不严重。倒是后台右上角“显示选项”(不同页面内容可能不同)里面有些网络查询的东西很慢,需要给取消勾选。

  1. 你的博客偶尔试过无法访问,过十几分钟好了,可能是https的问题,其实我觉得如果没必要用https的话,还是取消掉吧,反正折腾过了有经验了又记录了文章

雁过留声,人过留名

电子邮件地址不会被公开。 必填项已用*标注

特别提示:与当前文章主题无关的讨论相关但需要较多讨论求助信息请发布到水景一页讨论区的相应版块,谢谢您的理解与合作!请参考本站互助指南