Chrome 使用 Let's Encrypt (Plesk):旧密码套件
Chrome with Let's Encrypt (Plesk): Old Cyphersuite
我为 Let's Encrypt (https://github.com/plesk/letsencrypt-plesk) 使用了 Plesk 扩展,但 chrome 显示使用的是旧密码套件。证书使用:
- TLS 1.2
- AES_256_CBC
- HMAC-SHA1
- ECDHE_RSA
我发现 AES_256_CBC 似乎是问题所在,但是 UI 不允许对这些参数进行任何配置。
是否有允许这样做的配置文件?
我只发现 http://letsencrypt.readthedocs.org/en/latest/using.html#configuration-file 似乎不支持这些选项
谢谢
对于server-wide,您可以更改:
- 对于 nginx,
ssl_ciphers 在 /etc/nginx/conf.d/ssl.conf 到:
ssl_ciphers EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EDH+AESGCM+AES128:EDH+AESGCM+AES256;
- 对于 apache,
SSLCipherSuite 在文件中 /etc/apache2/mods-enabled/ssl.conf:
SSLCipherSuite EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EDH+AESGCM+AES128:EDH+AESGCM+AES256
对于每个站点,您可以在 Apache/Nginx 的其他 Web 服务器指令中使用相同的字符串:
另外,Plesk 有 all-in-one 工具用于强化所有支持服务的安全选项:
plesk sbin pci_compliance_resolver --enable
我为 Let's Encrypt (https://github.com/plesk/letsencrypt-plesk) 使用了 Plesk 扩展,但 chrome 显示使用的是旧密码套件。证书使用:
- TLS 1.2
- AES_256_CBC
- HMAC-SHA1
- ECDHE_RSA
我发现 AES_256_CBC 似乎是问题所在,但是 UI 不允许对这些参数进行任何配置。
是否有允许这样做的配置文件?
我只发现 http://letsencrypt.readthedocs.org/en/latest/using.html#configuration-file 似乎不支持这些选项
谢谢
对于server-wide,您可以更改:
- 对于 nginx,
ssl_ciphers在/etc/nginx/conf.d/ssl.conf到:
ssl_ciphers EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EDH+AESGCM+AES128:EDH+AESGCM+AES256;
- 对于 apache,
SSLCipherSuite在文件中/etc/apache2/mods-enabled/ssl.conf:
SSLCipherSuite EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EDH+AESGCM+AES128:EDH+AESGCM+AES256
对于每个站点,您可以在 Apache/Nginx 的其他 Web 服务器指令中使用相同的字符串:
另外,Plesk 有 all-in-one 工具用于强化所有支持服务的安全选项:
plesk sbin pci_compliance_resolver --enable