在使用Chrome浏览器时,大家会发现Chrome除了把HTTPS标识做的很炫以外,对于SSL加密套件的情况也是做了说明的,不知大家是否遇到加密技术过时的情况,下面我们就来说一说加密技术过时怎么解决。
安装了SSL证书的网站,在使用Chrome浏览器访问时,点击地址栏的小绿锁连接选项卡中,会标注本次SSL证书颁发者、加密方式、密钥交换方式等信息。
具体内容如下:
您与此网站建立的是私密连接。
该网站身份通过了Symantec Class 3 EV SSL CA - G3
您与 i.sf-express.com 之间的连接采用了新型加密套件进行了加密。
该连接使用 TLS 1.2。
该连接使用 AES_128_GCM 进行加密和身份验证,并使用 ECDHE_RSA 作为密钥交换机制。
这是一个设置正确的HTTPS网站正确的显示样式,但有很多网站并不是这样显示的,而显示的内容如下:
您与此网站建立的是私密连接。
您与 i.sf-express.com 之间的连接采用过时的加密套件进行了加密。
注意出现的内容:您与 i.sf-express.com 之间的连接采用过时的加密套件进行了加密。那么,这种情况是说安装的SSL证书不行吗?并不是,而是因为谷歌对SSL加密的要求比其他浏览器相对较高,需要网站默认最优先的会话加密套件使用目前高安全的EECDH算法,并且要求使用GCM算法。
根据这个要求,我们推荐您使用以下加密套件:
Nginx:
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM;
#顺便加上一些其他的优化配置
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;
ssl_prefer_server_ciphers on;
Apache:
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLSessionTickets Off
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
修改完成之后重启您的服务器,刷新chrom页面就可以看到正确的显示样式效果了。
在SSL证书安装使用过程中,网站管理员会遇到各种各样的问题,遇到问题并不可怕关键在于如何解决问题,一个值得信赖的CA会在第一时间为用户提供最安全有效的解决方案。