1. nginx 漏洞修復處理：

	1）server 增加如下配置：
		ssl_protocols TLSv1.2;  （TLS Version 1.0 Protocol Detection 漏洞修復）
		ssl_dhparam {$path}/dhparams.pem;   （Secure Sockets Layer，SSL 公共金鑰小於1024的安全隱患， 當伺服器SSL/TLS的瞬時Diffie-Hellman公共金鑰小於等於1024位時，存在可以恢復純文字資訊的風險）
		
		
		
	2）dhparams.pem 檔案生成命令：		
		openssl dhparam -out dhparam.pem 2048
		
	3）ssl 生成證書命令：（TLS/SSL 證書金鑰大小過小 漏洞修復）
		# 生成一個RSA私鑰,1024是加密強度，系統現在為1024有中危漏洞，需改為：2048
		$ openssl genrsa -out private.key 2048
		  
		# 生成一個證書請求
		$ openssl req -new -key private.key -out cert_req.csr
		 
		# 自己簽發證書，如果要權威CA簽發的話，要把cert_req.csr發給CA
		$ openssl x509 -req -days 365 -in cert_req.csr -signkey private.key -out server_cert.crt
		
		
		
# 優先採取伺服器演算法
ssl_prefer_server_ciphers on;
# 使用 DH 檔案
ssl_dhparam       ssl/dhparam.pem;
# 協議版本
ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
# 定義演算法
ssl_ciphers      'AES128+EECDH:AES128+EDH:!aNULL';
複製程式碼
安全的響應頭# 啟用 HSTS 。允許 https 網站要求瀏覽器總是通過 https 來訪問
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always;
# 減少點選劫持
add_header X-Frame-Options DENY;
# 禁止伺服器自動解析資源型別
add_header X-Content-Type-Options nosniff;
# 防XSS攻擊
add_header X-Xss-Protection 1;
複製程式碼
伺服器優化# 配置共享會話快取大小
ssl_session_cache   shared:SSL:10m;
# 配置會話超時時間
ssl_session_timeout 10m;
複製程式碼
http2 配置
http2 配置很簡單，只要後面增加 http2。
下面 [::]: 表示 ipv6 的配置，不需要可以不加那一行listen  80;
listen  [::]:80;
listen  443 ssl http2;
listen  [::]:443 ssl http2;