nginx支持http2，openssl 升级openssl-1.1.0h https A+ | 【DNS服务器IP地址-域名注册查询-CDN加速技术】

首先升级openssl 到 openssl-1.1.0h

wget https://www.openssl.org/source/openssl-1.1.0h.tar.gz

tar -zxvf openssl-1.1.0h.tar.gz
cd openssl-1.1.0h

./config –prefix=/usr

make

make install

openssl version -a

nginx配置参考：

listen 443 ssl http2;
add_header Strict-Transport-Security max-age=15768001;
ssl_certificate /usr/local/nginx/conf/vhost/Nginx/1_www.dnsdizhi.com_bundle.crt;
ssl_certificate_key /usr/local/nginx/conf/vhost/Nginx/2_www.dnsdizhi.com.key;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE;
ssl_prefer_server_ciphers on;

完毕后可以用：https://www.ssllabs.com/ssltest/ 或者 https://myssl.com/ 检查就是能达到A+，当然其实达到A就不错了。如facebook、v.qq.com、www.google.com都是A。区别在哪里？就是没有配置add_header Strict-Transport-Security max-age=15768001;，说真的就是不用配置的，没必要。