Https在Nginx上的最优配置

经过 OpenSSL 社区中国唯一代表指点，优化了一下公司网站，特分享给大家。

世界知名CDN厂商已在github上分享了一些经验。

官方网站：https://github.com/cloudflare/sslconfig

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

ssl_ecdh_curve X25519:P-256:P-384:P-224:P-521;

ssl_ciphers '[ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305|ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305]:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256:ECDHE+3DES:RSA+3DES';

ssl_prefer_server_ciphers on

但是需要先给OpenSSL打个patch，网址如下：

https://github.com/cloudflare/sslconfig/blob/master/patches/openssl__1.1.0_chacha20_poly1305.patch，详情如下

如果不想打patch，请用以下配置：

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

ssl_ecdh_curve X25519:P-256:P-384:P-224:P-521;

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256ECDHE-RSA-AES128-GCM-SHA256:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256:ECDHE+3DES:RSA+3DES';

ssl_prefer_server_ciphers on;

如果你的版本不够高，可能还需要注释一行，官网建议升级到最新稳定版：

OpenSSL官网：https://www.openssl.org/

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

# ssl_ecdh_curve X25519:P-256:P-384:P-224:P-521;

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256ECDHE-RSA-AES128-GCM-SHA256:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256:ECDHE+3DES:RSA+3DES';

ssl_prefer_server_ciphers on;

祝玩的愉快