1. 确保用HTTPS

先说说真实正的HTTPS是不存在SSL中间人打的！所以先说说要确定网站有部署SSL证书。

用户怎么判断网站有没有SSL证书护着呢？

• 访问时网址栏看得出来：https://。
• 浏览器看得出来醒目平安锁。

2. 验证服务器证书

确保Nginx配置中正确设置了SSL证书，并且证书是由受相信的证书颁发机构签发的。

设置一些平安相关的HTTP头， 如X-Content-Type-OptionsX-Frame-Options和Content-Security-Policy能进一步增有力网站的平安性。

3. 用双向认证

用双向认证能有效地别让中间人打。

定期更新鲜SSL证书能有效地别让中间人打和SSL加密解密打。

4. 用OCSP Stapling

OCSP Stapling能少许些客户端验证证书状态的时候，一边别让中间人打者篡改OCSP响应。

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

5. 启用证书透明度

证书透明度要求全部颁发的证书都非...不可记录在一个明着的日志中，这有助于检测和别让未经授权的证书颁发。

设置监控和警报系统，及时找到并响应随便哪个可疑活动或平安事件。

6. 用CSP别让XSS打

CSP能别让XSS打，少许些中间人打的凶险。

add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://; object-src 'none';" always;

7. 管束求频率

管束求频率能别让暴力破解和中间人打。

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
limit_req zone=mylimit burst=5 nodelay;

8. 用防火墙和睦安组规则

配置防火墙和睦安组规则， 管束对Nginx服务器的访问，只允许少许不了的IP地址和端口。

比方说：

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
server {
    listen 443 ssl;
    server_name example.com;
    ssl_certificate /path/to/ssl/certificate.pem;
    ssl_certificate_key /path/to/ssl/private.key;
    limit_req zone=mylimit burst=5 nodelay;
    ...
}

9. 定期更新鲜和审计

定期更新鲜Nginx和相关柔软件，确保全部平安补丁都已应用。一边，定期审计Nginx配置和日志文件，检查是不是有异常活动。

通过以上措施，能显著搞优良Nginx SSL的平安性，有效别让中间人打。