这个成果汇报欣赏器在HTTPS毗连期间， 第一部门是关于CAA记录，请留意，在默认的Ubuntu处事器Install上常常会丢失。

并将其发送到网络欣赏器， 假如您想将www重定向到非www域，则需要利用software-properties-common，让我们加密客户端包括在Ubuntu存储库， 以下是您的一些提示。

只需编辑root用户的crontab文件即可，为了提高机能，您将但愿尽大概频繁地向站点会见者显示绿色的挂锁，Web处事器自己会按期获取由CA签署的OCSP响应，请凭据这个帖子添加CAA记录。

第一个处事器块侦听端口80.它包括301重定向， dig example.com CAA 请留意，你可以在你的网站上启用OCSP， 为了使OCSP必需装订， 编辑你的Nginx处事器块， 假如您利用的是GoDaddy DNS， -staple-ocsp：启用OCSP装订。

假如你凭据官方文档，请编辑您的Nginx处事器块，剩下的工作就是将www重定向到非www，假如您会见您的网站，运行以下呼吁，当欣赏器毗连到一个没有OCSP装订的假网站时。

第二个处事器块侦听端口443.它包括301重定向， if ($scheme != https) { return 301 https://$host$request_uri; } # managed by Certbot 您可以删除这3行并编辑您的处事器块设置。

请在crontab文件的开头添加以下行。

用于指定哪些证书揭晓机构（CA）被答允为特定域名揭晓证书， 要启用这个头文件，这将强制Web欣赏器利用https://对付每个资源， HTTPS将成为任何网站的默认配置，如下面的屏幕截图，图片或JavaScript仍然通过HTTP提供， HSTS（HTTP严格传输安详） HSTS头部汇报网络欣赏器所有通信应该通过HTTPS完成，假如您的网页包括通过HTTPS无法会见的第三方处事器上的资源， ，因为它可以自动获取SSL / TLS证书并为您举办设置， -must-staple：将OCSP必备装订扩展添加到证书， -hsts：将Strict-Transport-Security头添加到每个HTTP响应，那么你可以利用下面的要领，你会获得一个A+， 您最多可以添加100个域名， sudo systemctl reload nginx 假如您利用WordPress，为了办理这个问题，反复的网站。

OCSP必需装订 假如一个黑客做了一个假的， OCSP装订 当Web欣赏器毗连到HTTPS网站时。

请确保在编辑Nginx处事器块设置文件之前， 电子邮件：用于注册和规复接洽人的电子邮件， 进级不安详的请求 有时候一个网站启用了HTTPS，Nginx处事器将HTTP重定向到HTTPS。

请运行: certbot --version 示例输出： certbot 0.19.0 利用Certbot Nginx插件启用HTTPS 假如您的网站没有利用CDN处事， 本教程将向您展示如安在Ubuntu 16.04/Ubuntu 17.10上利用Lets Encrypt在Nginx上正确启用HTTPS， 事实证明，在这种环境下，从而无需Web欣赏器接洽OCSP处事器， 您将被问到是否要收到EFF（电子前沿基金会）的电子邮件，您的网站将会处于重定向轮回， 只需进入WordPress仪表板配置通例，这也是一个要求， Lets Encrypt加密是免费的\自动的\开放的认证机构，它将遏制毗连，但利用此标头可确保您的网页始终得到绿色的挂锁， MAILTO=your-email-address 为了向客户提供新的证书。

那么网络欣赏器将认为它是正常的而且进入恶意网站，则仍然可以凭据本教程举办更新并替换您的现有证书， sudo nano /etc/nginx/conf.d/example.com.conf 在处事器块中添加以下两行。

办理此问题的简朴要领是启用进级不安详请求标头。

在这种环境下。

将HTTP重定向到HTTPS，请从头加载Nginx以使变动生效，只需在发出certbot呼吁时添加staple-ocsp符号， 您可以利用SSLMate CAA Record Helper为您的域名生成CCA记录， 首先，example.com --email your-email-address 说明： -nginx：利用Nginx验证器和安装措施 -agree-tos：同意让我们加密处事条款 重定向：添加301重定向。

但除此之外尚有更多，但我想谈谈进级不安详请求和HSTS头文件。

假如您之前已经陈设了Lets Encrypt证书，将非www重定向到www域。

sudo crontab -e 然后在底部添加以下行， @daily certbot renew quiet systemctl reload nginx quiet 符号将压制尺度输出，在Google Chrome中， sudo systemctl reload nginx 测试您的SSL证书 转到ssllabs.com来测试您的SSL证书和设置，那么这很容易，你将会获得所谓的双重301重定向，固然关于安详性头文件的完整接头超出了本教程的范畴。

官方文档先容了利用Lets Encrypt启用HTTPS的简朴步调， 选择Y或N后， 假如你担忧这一点，所有CA都必需在揭晓特定域名证书之前查抄CAA记录。

假如你凭据我的步调。

假如要从PPA安装软件包， 此刻。

假如WordPress的配置与Nginx设置相抵牾。

python-certbot-nginx是Certbot的Nginx插件， 这些对象可以辅佐你得到A +，它被一个信息图标代替;在Firefox中。

谷歌欣赏器和Firefox已经开始提示未加密的网页是不安详的，你获得了A +，因此， 生存并封锁文件，你从官方的Certbot PPA安装它，需要从头加载Nginx。

您可以利用下面的dig呼吁来查抄您的CAA记录， -uir：将Content-Security-Policy：upgrade-insecure-requests标题添加到每个HTTP响应， 然后从头加载Nginx以使变动生效。

假如您想要收到尺度错误， 测试Nginx设置， -d符号后头随着一个由逗号脱离的域名列表， 证书自动更新 要自动更新让我们加密证书， 有些人大概会认为，它会向证书揭晓机构（CA）发送OCSP（在线证书状态协议）请求，但只有一小部门支持HTTPS的网站会留意这些标头， example.com. IN CAA 0 iodef mailto:your-email-address 上述记录的名目是区域文件，使所有域版本直接到最终目标地，最终所有的HTTP网页将被标志为不安详， 您还可以查抄您的域名是否启用了CAA记录，请变动 return 301 https://www.example.com$request_uri; 为： return 301 https://example.com$request_uri; 并变动SSL处事器块中的server_name指令。

你会获得一个关于SSL尝试室的测试。

为您的域名建设CAA记录 证书揭晓机构授权（Certificate Authority Authorization， sudo apt install software-properties-common sudo add-apt-repository ppa:certbot/certbot sudo apt update sudo apt install certbot python-certbot-nginx 要查抄版本号，因为您可以利用Lets Encrypt轻松启用它们来提高网站的安详性。

如下面的动静所示，Nginx插件今朝不支持-hsts和uir符号， 要建设答允让我们加密的CAA记录为您的域名揭晓证书，CAA）是一种DNS资源记录，假如你想操作新的HTTP/2协议来加快你的网站，封锁OCSP staple而且阻止网络欣赏器会见OCSP处事器，以得到最新版本， 假如您的CAA记录中没有列出CA，这是一种从HTTPS降级到HTTP的进攻。

您的SSL证书将自动得到并为您举办设置，那么发起利用Nginx插件在Nginx Web处事器上启用HTTPS，安详头（Security Headers）和OCSP装订，您的处事器是否启用了HSTS，将非www重定向到www域， 正如我所理睬的那样， sudo nano /etc/nginx/conf.d/example.com.conf CertBot客户端将以下行添加到文件以将HTTP重定向到HTTPS。

你的网站必需显示OCSP订书响应，我的发起是，双301重定向可以伤害您的网站的搜索引擎优化，将您的首选域版本配置为WoredPress地点和站点地点，它防御SSL Striping，欣赏器地点栏开头的绿色挂锁将消失，反之亦然， sudo nginx -t 假如测试乐成，反之亦然， 假如你走这条蹊径，并在WordPress地点和站点地点中配置您的首选版本（www或非www）。

sudo certbot --nginx --agree-tos --redirect --uir --hsts --staple-ocsp --must-staple -d ，请在DNS处事器或DNS打点器中添加以下条目， 安装我们在Ubuntu 16.04 / 17.10上加密客户端 启动Ubuntu 16.04。

第二部门是将www域重定向到非www域。

您可以看到HTTP被自动重定向到HTTPS毗连， example.com. IN CAA 0 issue letsencrypt.org 你也可以利用 iodef使CA向您的电子邮件地点陈诉恶意证书问题请求。

在刊行certbot呼吁时添加 必需主标志，要启用这个头文件。

add_header Strict-Transport-Security max-age=15768000; preload always; add_header Content-Security-Policy upgrade-insecure-requests; 生存并封锁文件， 从2017年9月开始，OCSP装订和OCSP必需装订，只需在发出certbot呼吁时添加hsts符号，此标头合用于托管在您本身的域上的资源以及支持HTTPS的第三方域上的资源，然后WordPress重定向到www或非www域， 假如你利用WordPress，则任何CA都可觉得该域名揭晓证书， 要手动添加HSTS和进级不安详请求标头。

它被灰色的黄色三角形挂锁所代替，可是一些CSS， 要启用OCSP装订，只需在发出certbot呼吁时添加uir符号。

安详头(Security Headers) 安详性标头与HTTPS协议一样重要，这可以延迟页面加载1-3秒， 假如没有为域名找到CAA记录， 本教程分为2个部门，以便查询网站SSL证书的取消状态，则该CA无法为您的域名揭晓证书，按照Firefox的遥测数据。

Web欣赏器不查抄CAA记录， 将WWW重定向到非WWW（或副本） 我们已经启用了将HTTP重定向到HTTPS，那么这些资源将被Web欣赏器阻止， 在你的Ubuntu处事器上运行以下呼吁。

网站所有者可以启用OCSP装订，。