MySSL证书评级B上升到A

周末发现一个域名的评级是B（查询地址）影响了一部分SEO，查找了一圈，没有一个很好的解决方案，就自己来做个记录。

查询的结果显示：

降级原因：

1. 证书链不完整，降级为B，具体详情可参考《缺少证书链的问题和解决办法》。
2. 主页面引用了不安全的HTTP资源，降级为B
3. 服务器支持弱Diffie-Hellman(DH)密钥交换参数，降级为B

解决证书链不完整

在上面的查询地址中，可以从右侧的导航进入到，证书信息栏。在这里看到，证书链有异常。

但同样提供商，我签发的其他域名却又是正常的，这个就比较奇怪。好在MySSL提供了一个证书链修复工具，在这里，可以输入域名之后，下载对应的证书链，或者可以在服务器直接curl，很方便。

将新的证书，替换到nginx中之前旧的路径中，重启nginx，证书链问题解决。

解决主页面引用了不安全的HTTP资源

扫描了首页的资源（图片，视频，音频等），发现有一部分图片是采用HTTP方式引用的，修改成对应的HTTPS方式，该问题解决。

解决服务器弱Diffie-Hellman（DH）密钥交换参数

首先建议升级到最新的Openssl版本，造成这个原因的问题是，Linux默认用内置的DH来交换密钥，要想解决这个，需要自己生成一个自己的pem。

1. 通过openssl生成pem

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

2. 在默认的nginx配置丽server添加一条配置

...
http {

        ##
        # Basic Settings
        ##
		...

		##
        # SSL Settings
        ##

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;    
        ssl_prefer_server_ciphers on;
        ssl_dhparam /etc/nginx/ssl/dhparam.pem; #添加这一行，加入上面生成的pem
...

保存配置文件之后，重启nginx解决。

经过上面的三步操作，证书的评级就从B升级到A了。

REF:

• MySSL HTTPS 评级 B 升 A+
• 增强 nginx 的 SSL 安全性
• Disable Diffie-Hellman (DH) key in Ubuntu 16 and Nginx

最近美港股市场非常强势，如果你也有投资意愿，欢迎使用雪盈平台和老虎平台进行入金，通过我的链接入金你我都会获得1股阿里的港股。