MySSL证书评级B上升到A

周末发现一个域名的评级是B(查询地址)影响了一部分SEO,查找了一圈,没有一个很好的解决方案,就自己来做个记录。

查询的结果显示:

降级原因:

  1. 证书链不完整,降级为B,具体详情可参考《缺少证书链的问题和解决办法》。
  2. 主页面引用了不安全的HTTP资源,降级为B
  3. 服务器支持弱Diffie-Hellman(DH)密钥交换参数,降级为B

解决证书链不完整

在上面的查询地址中,可以从右侧的导航进入到,证书信息栏。在这里看到,证书链有异常。

但同样提供商,我签发的其他域名却又是正常的,这个就比较奇怪。好在MySSL提供了一个证书链修复工具,在这里,可以输入域名之后,下载对应的证书链,或者可以在服务器直接curl,很方便。

将新的证书,替换到nginx中之前旧的路径中,重启nginx,证书链问题解决。

解决主页面引用了不安全的HTTP资源

扫描了首页的资源(图片,视频,音频等),发现有一部分图片是采用HTTP方式引用的,修改成对应的HTTPS方式,该问题解决。

解决服务器弱Diffie-Hellman(DH)密钥交换参数

首先建议升级到最新的Openssl版本,造成这个原因的问题是,Linux默认用内置的DH来交换密钥,要想解决这个,需要自己生成一个自己的pem。

  1. 通过openssl生成pem

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

  1. 在默认的nginx配置丽server添加一条配置
...
http {

        ##
        # Basic Settings
        ##
		...

		##
        # SSL Settings
        ##

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;    
        ssl_prefer_server_ciphers on;
        ssl_dhparam /etc/nginx/ssl/dhparam.pem; #添加这一行,加入上面生成的pem
...

保存配置文件之后,重启nginx解决。

经过上面的三步操作,证书的评级就从B升级到A了。

REF:


最近美港股市场非常强势,如果你也有投资意愿,欢迎使用雪盈平台老虎平台进行入金,通过我的链接入金你我都会获得1股阿里的港股。