จากที่ดูขั้นแรกต้อง reissue ssl ใหม่ครับจากการเข้ารหัส SHA-1 เป็น SHA-256 ก่อน
ซึ่งจะได้ CA ใหม่ที่เป็น SHA-256 มาด้วย ยกเว้น Root
จากนั้นตั้งค่า nginx ใหม่อ่ะครับปรับหลักๆ ตามนี้
# disable SSLv3(enabled by default since nginx 0.8.19) since it's less secure then TLS http://en.wikipedia.org/wiki/Secure_Sockets_Layer#SSL_3.0
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# ciphers chosen for forward secrecy and compatibility
# http://blog.ivanristic.com/2013/08/configuring-apache-nginx-and-openssl-for-forward-secrecy.html
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:RC4-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK';
หากต้องการตั้งค่า Header HSTS ด้วยก็เพิ่มอันนี้ไป
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";
REF :
https://scotthelme.co.uk/setting-up-hsts-in-nginx/ ของผมก็เพิ่งไป reissue ใหม่จาก sha1 เป็น sha2 ตามรูปนี้อ่ะคับ