关于 ssl 的错误，为什么我不是 a+？

来来来，学习一个 https://mozilla.github.io/server-side-tls/ssl-config-generator/

@devops 这个我正在看呢，而且有一些问题，待会我把自己变成 A+以后会写一个新的配置方法的，已经走了很多弯路了。。
但是我现在的问题，用这个配置是解决不了的。

食得咸鱼耐得渴，无非「削足合适履」罢了。

ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;

ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";

@ivmm 我现在是这个，看不出来哪个是问题啊。。。

ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
一般现代浏览器就留这几个就够了，支持一大堆反而要去 Monitor 所有算法的安全问题，及时去去掉反而麻烦的多。

@uuair DES 的可以全部去掉了。

光调整 ssl_cipher 不够的。

@devops 当然还有 TLS 只允许 1.2，然后自定义强 dh_params 都要弄。

你直接把报告发出来就好确认有没有其他原因了。

@uuair 只用我给你的几个就够了，不需要那么多的

@AirSc
@lty1993
@devops

多谢各位，虽然我这个问题没解决，但是确实如楼上说的，我解决了其他问题，网站达到了 A+，这个问题我还是想解决的，以后慢慢来。。。

解决办法再这里： t/368732

@ivmm 呀，我忘记艾特你了，多谢多谢

@uuair A+需要配置 HSTS，强制使用 HTTPS，那些套件的配置最多只能让你到 A

3DES 只要不是 server-preferred cipher list 中的首选就没问题
(前提是密钥交换安全，不能用 DH_anon_DES_CBC3_SHA 这类匿名 DH 的，否则会降到 F)

你需要添加 HSTS Header，并至少 180 天(15552000s)
如果同时添加了 HKPK Header，这个 Header 不能有错误(比如没配置 backup pin)