"A +"のNginx SSL /TLS設定Qualys SSL Labs ratin

##名前：nginx-tls.conf＃認証：James Lau＃日付：2015年12月9日＃説明：" A +"のNginx SSL /TLSの設定; Qualys SSL Labs rating ## HTTP /2、PFS、HSTS、およびOCSPステープルを有効にします。 ＃SSL /TLSに関係しない設定オプションはここでは省略されています。##例：https://www.ssllabs.com/ssltest/analyze.html?d=yusky.me#server {listen [::]：80; listen 80; server_name domain.tld www.domain.tld;＃https以外のすべての要求をリダイレクトする^ https：//$ host $ request_uri？ server; {server; domain; {server} domain.tld;＃証明書とプライベートキーssl_certificate /etc/ssl/domain.crt;ssl_certificate_key} [恒久;} server {listen [::]：443 default_server ssl http2; listen 443 default_server ssl http2; server_name domain.tld /etc/ssl/domain.key;# DHE暗号スイート用のDiffie-Hellmanパラメーター、推奨2048 bitsssl_dhparam /path/to/dhparam.pem;ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers on; ssl_ciphers EECDH + ECD + ECD + ECD + ECD + + + aRSA + AESGCM：EECDH + ECDSA + SHA512：EECDH + ECDSA + SHA384：EECDH + ECDSA + SHA256：EDH + aRSA：EECDH：！aNULL：！eNULL：！LOW：！RC4：！3DES：！MD5：！EXP： ！PSK：！SRP：！DSS; ssl_session_timeout 1d; ssl_session_cache共有：TLS：10m; ssl_session_ticketsオフ;＃OCSP staplingssl_staplingオン; ssl_stapling_verifyオン;リゾルバー43.225.44.1; ＃hp.hupo.hk ##ルートCAと中間のcertsssl_trusted_certificate /path /to /root_CA_cert_plus_intermediatesを使用してOCSP応答の信頼の連鎖を検証します;＃HSTSを365 daysadd_headerに設定しますStrict-Transport-Security 'max-age = 31536000; includeSubDomains ';}