Nginx SSL 安全配置详解：迈向 A+ 评级

获取 SSL 证书只是第一步。要让您的服务器既安全又快速，还需要针对 Nginx 进行精细化配置。

基础证书路径配置

将您在 CertificateHub 申请并下载的证书放置在 /etc/nginx/ssl/ 目录下。

server {
    listen 443 ssl;
    server_name example.com;
    ssl_certificate /etc/nginx/ssl/fullchain.crt;
    ssl_certificate_key /etc/nginx/ssl/private.key;
}

启用现代协议 TLS 1.3

TLS 1.3 移除了过时的加密算法，握手速度提升了 40% 以上。

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;

HSTS 安全增强

开启 HSTS 后，浏览器将强制仅通过 HTTPS 访问您的网站，有效防御协议降级攻击。

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;