Blog-i-Move

如何設定Cloudflare,通過SSL實驗室的A級檢測

GA瀏覽量:584

2020年1月31日開始,ssl labs宣布ssl評分,將把TLS 1.0 和 TLS1.1通訊協定列為B級,網站若仍支援TLS1.0 和TLS 1.1 ,也就是TLS1.2以下的通訊協助,網站的SSL安全等級將降為B級。只有提供TLS 1.2以上通訊協助,並且提交HSTS,以及不支援TLS_FALLBACK_SCSV的網站可被評為A級以上。相信很多朋友光看這些就一頭霧水,其實想要達到A級,若是自架主機有好多的設定必須使用,但是若是你的網站利用Cloudflare做為CDN,只要在cloudflare上做簡單的三個步驟就可以讓你的網站從B級回到A級喔!

 

https://blog.qualys.com/ssllabs/2018/11/19/grade-change-for-tls-1-0-and-tls-1-1-protocols?_ga=2.117713601.914192292.1582095921-601765629.1582095921

Existing Grades Sample

Server Configuration Grade
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + No Warning + TLS_FALLBACK_SCSV A+
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + No Warning +  No support for TLS_FALLBACK_SCSV A
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + Warnings + No support for TLS_FALLBACK_SCSV A-

 

Future Grades Sample

Server Configuration Grade
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + No Warning + TLS_FALLBACK_SCSV B
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + No Warning +  No support for TLS_FALLBACK_SCSV B
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + Warnings + No support for TLS_FALLBACK_SCSV B
TLS 1.2 + HSTS + No Warning + TLS_FALLBACK_SCSV A+
TLS 1.2 + HSTS + No Warning + No support for TLS_FALLBACK_SCSV A
TLS 1.2 + HSTS + Warnings + No support for TLS_FALLBACK_SCSV A-

[引用自ssl labs]

blogimove著作.版權所有
為什麼SSL實驗室(SSL LABS)要宣布將TLS 1.0 及 TLS 1.1降為B級,從以下的統計圖就可以看出來,目前的網站絕大部份ssl連線都是使用TLS1.2以上的通訊協定,TLS1.2以下的通訊協定版本幾乎佔不到1%,因此,在絕大部份瀏覽器都能支援TLS 1.2以上通訊協定的連線狀況下,慢慢要強迫放棄舊的通訊協定,所以ssl labs才會將TLS 1.0 1.1降為B級。

如何設定Cloudflare,通過SSL實驗室的A級檢測 @Blog-i-Move

[圖片出處]Cloudflare針對個別網站安全連線的統計資料

網站SSL被評為B級會對seo有影響嗎?其實,你從google最近的ssl 報告裡看到,google目前還是在B級,而這個分級主要是對於網站使用ssl的安全狀態評分,當然有高的分級表示網站的ssl連線愈安全,但seo雖然強調https安全連線優於http,但是尚無證據顯示google會對ssl進行分級,所以,各位朋友不必擔心自己的網站被評為B級就感到焦慮,只要記得在未來新架設的網站主機,可以考慮移除對TLS 1.0 1.1的支援。至於使用Cloudflare的朋友,則可透過簡單的設定步驟,限制TLS最低的連線版本,提升網站的連線安全性對自己對讀者都是件好事。

[圖片出處]SSL LABS對Google測試的SSL報告

一、如何利用SSL LABS進行網站檢測

可利用SSL LABS的ssl server test的檢測頁面,進行網站的ssl連線檢測。

操作步驟>>輸入網域、勾選不要在告示欄顯示結果(不公開紀錄)、送出進行檢測

 

操作步驟>>等待一段檢測時間後,就能看到網站的評分結果。

 

二、如何設定cloudflare讓ssl網站通過A級檢測

Cloudflare針對HTTPS安全連線有非常多的設定,不管是HSTS或是支援的TLS版本,所以,只要利用下列的步驟,就可以限制網站最低的安全連線通訊協定版本,就可以符合ssl labs檢測的標準,讓網站只提供TLS 1.2版以上的通訊協定,這樣再回頭進行SSL SERVER TEST時,就能輕鬆回到A級。

操作步驟>>設定「ssl/tls」的「Edge Certificates」分頁中的「Minimum TLS Version」為TLS1.2。

SSL SERVER檢測主要是通過分析及建議,提供網站增加安全連線的等級,保護資料安全,一般的內容網站當然安全系數不必像金融相關的系統追求極致的安全等級,當完成這樣的設定,也表示放棄對那1%還在使用TLS1.0 1.1連線的使用者,因此,你說這個是絕對要升級到A級嗎?真的要看網站的受眾及用途而定,千萬不可盲目的追求極致的評分,對於seo而言SSL SERVER是A級或B級其實google應該暫時沒有那個閒功夫去分到那麼細,要知道google若想做到這樣的檢測勢必要浪費掉多少資源,只要能分判https及http就能簡單的為網站安全分級而進行SEO權重的調整,所以,對於網站還沒有辦法達到A級的朋友也無需過度焦慮及擔憂,重點還是在創作優質的內容才是SEO王道。

 

 

若您有部落格搬家購買blogimove部落客專屬外掛程式或是量身訂製外掛程式的需求,歡迎填表諮詢

電子郵件:blogimove@gmail.com

諮詢表單:部落格搬家需求單

臉書:http://www.facebook.com/blogimove

只要申請好網域、虛擬主機,搬家交給BlogImove!

按讚加入粉絲團

延伸閱讀


你有部落格搬家技術的疑問嗎?歡迎填表諮詢
電子郵件:blogimove@gmail.com
諮詢表單:部落格搬家需求單
臉書:http://www.facebook.com/blogimove
線上諮詢:請點網頁右下角MESSAGER圖示












只要申請好網域、虛擬主機,搬家交給BlogImove!

GA瀏覽量:584
Click
blogimove部落格搬家技術,為您提供專業服務
網路伺服器架設、部落格搬家、Wordpress外掛開發、網站優化、SEO檢健
你有部落格搬家技術的疑問嗎?歡迎填表諮詢
電子郵件blogimove@gmail.com
諮詢表單部落格搬家需求單
臉書http://www.facebook.com/blogimove
line@https://lin.ee/hiDv1MA
搬家流程部落格搬家Q&A
Telegram:https://t.me/blogimoveEngineer
只要申請好網域、虛擬主機,搬家交給BlogImove!
Exit mobile version