SSL Labs评分提升指南：从B到A+，开发者必会的10项证书配置检查

1. 证书链完整性检查

• 问题：缺失中间证书导致浏览器无法验证信任链。
• 操作：
  • 使用openssl s_client -connect example.com:443 -showcerts检查完整证书链。
  • 确保服务器配置中包含所有中间证书（如Apache的SSLCertificateChainFile或Nginx的ssl_trusted_certificate）。
• 影响：完整链是A+评级的基础，缺失会导致信任评分下降。

证书申请通道：

↓

JoySSL_JoySSL SSL证书_JoySSL https证书-JoySSL

↑

2. 禁用不安全协议（SSLv2/SSLv3/TLS 1.0/TLS 1.1）

• 问题：旧协议存在POODLE、BEAST等漏洞。
• 操作：
  • 强制启用TLS 1.2+（Nginx配置示例：ssl_protocols TLSv1.2 TLSv1.3）。
  • 禁用TLS 1.1及以下版本（IIS需通过IISCrypto工具禁用）。
• 影响：A+要求仅支持现代协议，保留旧协议直接限制评级。

---

3. 配置强加密套件

• 问题：弱加密算法（如RC4、DES）或过时密钥交换（如RSA 1024位）。
• 操作：
  • 优先选择ECDHE密钥交换+AES-GCM加密（如TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384）。
  • 禁用弱算法（如!aNULL !MD5 !3DES）。
• 影响：加密套件强度占评分40%，弱配置直接扣分。

---

4. 启用HTTP严格传输安全（HSTS）

• 问题：未启用HSTS可能导致协议降级攻击。
• 操作：
  • 添加响应头：Strict-Transport-Security: max-age=63072000; includeSubDomains; preload。
  • 提交至HSTS预加载列表（可选但加分）。
• 影响：HSTS是A+评级的必要条件，可防止中间人攻击。

---

5. 启用OCSP装订（OCSP Stapling）

• 问题：证书吊销状态查询延迟或隐私泄露。
• 操作：
  • 配置服务器启用OCSP装订（如Nginx的ssl_stapling on; ssl_stapling_verify on;）。
  • 确保OCSP响应时间合理（可通过openssl s_client -connect example.com:443 -status测试）。
• 影响：减少证书吊销查询延迟，提升性能与安全性。

---

6. 部署前向保密（Forward Secrecy）

• 问题：未使用ECDHE密钥交换导致会话密钥泄露风险。
• 操作：
  • 优先配置ECDHE密钥交换算法（如ECDHE-ECDSA-AES256-GCM-SHA384）。
  • 禁用不安全的密钥交换（如!kRSA）。
• 影响：前向保密可防止长期密钥泄露导致历史会话被解密。

---

7. 禁用不安全的签名算法

• 问题：SHA-1或MD5签名算法易受伪造攻击。
• 操作：
  • 确保证书使用SHA-256或更高签名算法。
  • 检查服务器配置，禁用弱签名算法（如!MD5、!SHA1）。
• 影响：现代浏览器对弱签名算法会直接报错，影响评级。

---

8. 配置HTTP严格传输安全（HSTS）

• 问题：未启用HSTS导致中间人攻击风险。
• 操作：
  • 在响应头中添加Strict-Transport-Security: max-age=31536000; includeSubDomains; preload。
  • 提交至HSTS预加载列表（可选但加分）。
• 影响：HSTS是A+评级的硬性要求，可强制浏览器始终使用HTTPS。

---

9. 启用TLS 1.3并优化TLS 1.2配置

• 问题：弱加密套件或协议版本降低安全性。
• 操作：
  • 仅启用TLS 1.2+（如Nginx配置ssl_protocols TLSv1.2 TLSv1.3）。
  • 优先选择高强度加密套件（如TLS_AES_256_GCM_SHA384）。
• 影响：TLS 1.3提供更快握手和更强的安全性，是A+评级的关键。

---

10. 定期更新证书并监控评级

• 问题：过期证书或配置过时导致评级下降。
• 操作：
  • 使用Let's Encrypt等工具自动续期证书（有效期≤90天）。
  • 定期通过SSL Labs测试检查评级，并根据报告优化配置。
• 影响：持续维护是保持A+评级的必要条件。

---

关键配置示例（Nginx）

nginx

	server {
	listen 443 ssl;
	server_name example.com;
	ssl_certificate /path/to/fullchain.pem; # 包含证书链
	ssl_certificate_key /path/to/privkey.pem;
	ssl_trusted_certificate /path/to/chain.pem; # 显式指定中间证书
	ssl_protocols TLSv1.2 TLSv1.3;
	ssl_ciphers 'HIGH:!aNULL:!MD5:!RC4:!3DES:!aECDH';
	add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
	---
	### **关键注意事项**
	- **测试与验证**：每次配置后，使用[SSL Labs测试工具](https://www.ssllabs.com/ssltest/)验证评分。
	- **自动化工具**：使用工具如`IISCrypto`（Windows）或`Mozilla SSL Configuration Generator`（跨平台）快速生成安全配置。
	- **长期维护**：关注CA/Browser Forum发布的TLS标准更新（如禁用旧算法、支持新协议）。
	---
	通过以上10项配置检查，开发者可系统性提升SSL Labs评分。核心逻辑是：**消除信任链风险、禁