Nginx安裝SSL之後的優化建議!(軍哥lnmp)

之前寫過lnmp安裝SSL的教學,不過在那時候並還沒有深入研究SSL。最近因為覺得網站速度越來越慢後,才去查了下SSL優化的介紹,目前我知道的優化方法有禁用SSL v3協定安裝SPDY,如果有其他優化方式,也可以跟我說下,我會持續更新這篇文章!

由於禁用SSL v3協定和安裝SPDY可以一起做,所以我就先說一下,這兩項優化的意義。

禁用SSL v3協定

為什麼要禁用這個協定?

SSL v3是由1996年被開發出來的,漏洞非常多! 在2014年10月被Google發現有設計缺陷,之後的嚴重性,導致Google、火狐宣布禁用SSL v3,而微軟則是發出安全警告!

安裝SPDY

SPDY是由Google開發。傳輸內容均會使用Gzip壓縮,來優化網頁載入速度。

目前較新的瀏覽器,都已經支持這個技術了!

安裝

由於軍哥SPDY已經內建在lnmp包中,所以不用另外安裝,禁用SSL v3也是寫一行代碼即可。

首先使用SFTP進入/usr/local/nginx/conf/vhost,把裡面對應你網站的.conf檔案拉到桌面,並編輯他。

裡面會有一行

listen 443;

把他編輯成

listen 443 ssl spdy;

這樣就開啟spdy功能了,接下來不要關閉.conf檔案,因為還要禁止SSL v3。

在ssl_certificate下面那行中,貼入以下代碼

ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

之後在進入SSH中輸入以下代碼,重新啟動你的nginx。

lnmp nginx restart

如果你還是不知道怎麼配置你的.conf檔案,就直接貼上以下代碼再把藍字的地方編輯成你自己的吧!

server
{
listen 80;
#listen [::]:80;
server_name bonbg.com;
index index.html index.htm index.php default.html default.htm default.php;
root /home/wwwroot/bonbg.com;

include wordpress.conf;
#error_page 404 /404.html;
location ~ [^/]\.php(/|$)
{
# comment try_files $uri =404; to enable pathinfo
try_files $uri =404;
fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
include fastcgi.conf;
#include pathinfo.conf;
}

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
}

location ~ .*\.(js|css)?$
{
expires 12h;
}
listen 443 ssl spdy;
index index.html index.php index.htm;
error_page 400 /errpage/400.html;
error_page 403 /errpage/403.html;
error_page 404 /errpage/404.html;
ssl on;
ssl_certificate_key /usr/local/nginx/conf/bonbg.key;
ssl_certificate /usr/local/nginx/conf/bonbg_bundle.crt;

ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
location ~ \.php$ {
fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
include fastcgi.conf;
}
}

 

我要怎麼知道有開啟spdy和禁用SSL v3呢?

 

如果以上網頁顯示還是沒開啟或禁用,也可以直接留言給我,如果我能幫助你我就盡量回復喔!

 

 

Bon

Bon

目前大三,把經營網站當作興趣,只要看到什麼新奇、好用的東西都會分享在部落格中。如果你也喜歡我的文章,歡迎留言給我!

More Posts

2 Responses to Nginx安裝SSL之後的優化建議!(軍哥lnmp)

  1. yungke 說:

    裝了幾次軍哥的 LNMP 1.3 beta 版本,感覺不如之前的 1.1 來的好了。

發表迴響