Configuración Nginx SSL /TLS para "A +" Qualys SSL Labs ratin

## Nombre: nginx-tls.conf # Aut.: James Lau # Fecha: 09 dic 2015 # Descripción: Configuración de Nginx SSL /TLS para " A + " Qualys SSL Labs rating ## Habilita el grapado HTTP /2, PFS, HSTS y OCSP. Las opciones de configuración no relacionadas con # a SSL /TLS se omiten aquí. ## Ejemplo: https://www.ssllabs.com/ssltest/analyze.html?d=yusky.me#server {listen [::]: 80; listen 80; server_name domain.tld www.domain.tld; # Redirigir todas las solicitudes no https se escriben ^ https: //$ host $ request_uri? permanent;} server {listen [::]: 443 default_server ssl http2; listen 443 default_server ssl http2; server_name domain.tld www.domain.tld; # Certificados y claves privadassl_certificate /etc/ssl/domain.crt;ssl_certificate_key /etc/ssl/domain.key; Parámetro Diffie-Hellman para conjuntos de cifrado de DHE, se recomiendan 2048 bitsssl_dhparam /path/to/dhparam.pem; + aRSA + AESGCM: EECDH + ECDSA + SHA512: EECDH + ECDSA + SHA384: EECDH + ECDSA + SHA256: EDH + aRSA: EECDH:! aNULL:! eNULL:! LOW:! RC4:! 3DES:! MD5:! EXP: ! PSK:! SRP:! DSS; ssl_session_timeout 1d; ssl_session_cache compartido: TLS: 10m; ssl_session_tickets desactivado; # OCSP staplingssl_stapling; ssl_stapling_verify on; resolver 43.225.44.1; # hp.hupo.hk ## verifique la cadena de confianza de la respuesta OCSP usando Root CA e Intermediate certsssl_trusted_certificate /path /to /root_CA_cert_plus_intermediates; # Establezca HSTS en 365 díasadd_header Strict-Transport-Security 'max-age = 31536000; includeSubDomains ';}