昨天折騰了一個AlphaSSL泛域名證書后，心血來潮去SSL評分網站測試了一番，最后的結果竟然是B，這真是不能忍啊……

為啥會是B，查看了原因，竟然是啟用了TLS 1.1，所以為B。那么，刪除TLS 1.1不就可以了，確實可以。不過，你的姿勢可能不正確。這篇文章就來介紹下寶塔面板搭建的站點，如何正確開啟TLS 1.3并刪除TLS 1.1， 讓你的網站SSL評分達到A+ 。

1、簡介

TLS和加密連接在網絡性能方面總是會帶來輕微的開銷。HTTP/2能幫助解決這個問題，但TLS 1.3通過TLS錯誤啟動和零往返時間(0-RTT)等功能幫助加速加密連接。

簡單地說，在TLS 1.2中，需要兩次往返才能完成TLS握手。使用TLS 1.3時，它只需要一次往返， 這又將加密延遲減半。這有助于這些加密連接比以前更快一點。所以說優點如下：

更快的訪問速度

增強安全性

可以減少 TLS 握手的時間

2、寶塔面板開啟TLS 1.3

當我們申請SSL證書后，最新版本的寶塔面板是默認開 ssl_ciphers 啟TLS 1.3協議的。注意，如果你這里沒有TLS 1.3，可以在 ssl_protocols 這一行后面加上 TLSv1.3 即可，看圖：

雖然開啟了TLS 1.3，不過這樣是不行的。我們去SSL評分下，發現會是B。如圖：

This server supports TLS 1.1. Grade capped to B.(因為服務器支持TLS 1.1，所以為B)

3、刪除TLS 1.1協議

1)刪除TLS 1.1也很簡單，在網站配置文件中，刪除TLS 1.1，只保留TLSv1.2 TLSv1.3即可。如圖：

2)一些坑需要注意:如果你的服務器有好幾個站點，并且都配置了SSL，那么你需要刪除所有站點的TLS 1.1，不然，你檢測會是一直B。

4、配置TLS 1.3

刪除TLS 1.1之后，我們只保留刪除TLS 1.2和TLS 1.3，額如果激進一點，可以只保留一個TLS 1.3。之后，我們修改下： ssl_ciphers 具體如下：

ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:!MD5;

5、測試效果

在線檢測地址 ：https://www.ssllabs.com/ssltest/analyze.html

看到DNS CAA No 看來我們還需要設置下這個。

6、設置DNS CAA(可選)

這個玩意建議使用CAA記錄自動在線生成來搞定。

在線工具：https://sslmate.com/caa/

1)點開網頁后輸入域名，選擇Auto-Generate Policy

2)找到Publish Your CAA Policy，如圖：

現在我們可以設置dns記錄了。

7、設置HSTS Preload

1)就算設置了DNS CAA，我們得到的評分依然是A，所以還差了最重要的一步，就是設置設置HSTS Preload。額，最簡單的設置就是一行代碼，如下：

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

2)如何放置呢，nginx服務器只需要放置到你的 HTTPS 配置的 server 塊中即可，寶塔面板這樣放即可。如圖：

8、設置DNS

這里以cloudflare為例，國內DNS商家目前基本都支持了CAA記錄了。如何設置看圖：

設置好保存即可。我們在去檢測下，效果如圖：

9、最后

1)DNS CAA 和 DNSSEC 這兩個都是可選配置，可以不用倒騰。

2)TLS1.1需要刪除，這樣對于提高網站訪問速度有一點幫助。

3)DNSSEC國內支持的很差，大家了解下即可。

4)如果不開啟HSTS Preload無法得到A+，所以開不開HSTS Preload自己斟酌，不過開啟HSTS Preload可以加快網站的訪問速度。如果不需要就刪除那段代碼即可。

總結

以上是生活随笔為你收集整理的宝塔 没有找到站点_宝塔面板正确开启TLS 1.3并删除TLS 1.1的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。