什么是A+评级
Qualys SSL Labs(ssllabs.com/ssltest)是业界标准的SSL配置检测工具。A+是最高评级,要求在协议支持、密钥交换、密码强度三个维度都达到优秀,并且启用HSTS。获得A+评级是安全最佳实践的标志。
评分规则
Protocol Support(30%)
检查支持的TLS版本。仅支持TLS 1.2+得满分,支持TLS 1.0/1.1会显著扣分。SSL 3.0直接F级。
Key Exchange(30%)
检查密钥交换算法和密钥长度。RSA 2048位是最低要求,4096位或ECDSA P-256满分。必须支持前向保密(PFS)。
Cipher Strength(40%)
检查密码套件强度。AES-256-GCM满分,AES-128-GCM接近满分。存在弱密码套件会严重扣分。
Nginx A+配置模板
关键配置项:ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers设置为仅允许AEAD密码套件; ssl_prefer_server_ciphers off(TLS 1.3时建议关闭); 添加HSTS头(max-age至少6个月); 启用OCSP Stapling; 使用ECDSA证书(比RSA更快更安全)。
常见扣分项与修复
- 支持TLS 1.0/1.1 → 在ssl_protocols中删除
- 缺少HSTS → 添加Strict-Transport-Security头
- 弱密码套件(RC4/3DES/CBC)→ 更新ssl_ciphers配置
- RSA 1024位密钥 → 重新生成2048位以上的密钥
- 缺少OCSP Stapling → 添加ssl_stapling配置
- 证书链不完整 → 配置包含中间证书的fullchain
自动化检测
使用testssl.sh在CI/CD中自动检测SSL配置。部署后自动运行检测脚本,配置不达标时阻止上线。定期(每月)使用SSL Labs在线检测确认评级。