SSL證書安裝配置最佳化建議

　　SSL證書（anxinssl.com）申請成功後需要進行安裝配置才可以發揮作用，安裝配置也是有講究的，這裡給到一些配置最佳化建議，大家可以參考一下。

　　

　　1.SSL透過呼叫SSL/TLS協議來確保資料安全，建議使用安全的TLS1.2或TLS.3，不建議使用有安全漏洞的SSL2.0、SSL3.0、TLS1.0和TLS1.1。值得注意的是，不同的協議版本可以並存，不安全的協議版本更能相容舊版本的系統和瀏覽器，所以選擇安全性還是選擇相容性值得認真考慮。

　　

　　2.雖然安裝SSL證書只需要私鑰檔案和證書檔案，但是建議安裝證書的同時將完整的證書鏈也安裝到伺服器上。證書鏈就像是一條信任鏈，使瀏覽器知道證書是由哪個證書頒發機構簽發的。缺乏證書鏈就有可能導致部分瀏覽器因為無法識別證書來源而取消對證書的信任，出現安全警告和報錯。

　　

　　3.多種密碼協議和密碼技術組合形成的加密框架稱為密碼套件，建議選擇合適且安全的密碼套件，例如TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。不僅如此，我們還要設定優先使用前向安全性FS的加密套件。

　　

　　4.建議啟用HTTP/2並使用WAN最佳化，減少網路開銷和網路延遲。

　　

　　5.建議使用可信第三方js或者css，減少中間人攻/擊MIMT的可能性。

　　

　　6.網站使用的或連結的圖片、影片等資源也必須是來自HTTPS資源，否則會影響網站安全，並且造成瀏覽器不安全警/告。

　　

　　7.建議在SSL證書安裝前，先在測試環境進行證書配置，確認沒有問題後再將證書配置到生產環境，防止因修改證書相關配置檔案影響網站正常執行。