符合安卓最佳安全实践的 Nginx 配置文件范本

这是一份符合安卓(Android)安全最佳实践的Nginx配置文件范本。它集成了TLS1.3支持、优化的加密套件以及完整的证书链配置，旨在消除安卓设备上的连接报错。

Nginx安全配置范本

请将以下内容根据您的实际路径修改后，放入Nginx的server块中：

Nginx

server {
    listen 443 ssl http2;
    server_name yourdomain.com;

    # 1.证书链配置（关键：必须包含服务器证书和中间证书）
    # 请确保 fullchain.pem 是由[服务器证书]和[中间证书]合并而成的
    ssl_certificate /etc/nginx/ssl/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/privkey.pem;

    # 2.协议版本控制（弃用不安全的TLS1.0/1.1，兼容安卓老设备与新标准）
    ssl_protocols TLSv1.2 TLSv1.3;

    # 3.加密套件优化（优先使用前向安全性FS套件）
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;

    # 4.开启会话复用（提升安卓移动端握手速度）
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:10m;
    ssl_session_tickets off;

    # 5.开启HSTS（强制浏览器及应用使用HTTPS）
    add_header Strict-Transport-Security "max-age=63072000" always;

    # 6.OCSP装订（减少安卓客户端验证证书吊销状态的等待时间）
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;

    # 站点其余配置...
}

配置要点解析

• 证书合并顺序： 在生成fullchain.pem时，务必保持顺序：第一段是您的域名证书，第二段是中间证书(Intermediate)。如果顺序颠倒，安卓设备会报错。
• HTTP/2支持： 配置文件中加入了http2，这能显著提升安卓端加载网页内容（如多图页面）的速度，并减少握手开销。
• OCSP装订： 安卓设备在校验证书是否被吊销时，有时会因为连接CA服务器超时而报错。开启ssl_stapling后，由服务器代为查询并缓存状态，能极大地提高连接成功率。

下一步操作

1. 修改配置后，请执行nginx -t检查语法。
2. 执行nginx -s reload重载配置。
3. 使用我刚才提供的check_ssl.sh脚本再次验证证书链是否已显示完整。