网站 SSL 评级只有 B？一篇文章讲清楚原因与升级方案

很多站长或开发者在做 HTTPS 检测时，会发现自己的网站 SSL 评级只有 B。

这时常见反应是：

• 网站是不是不安全？
• 会不会影响 SEO？
• 为什么不是 A？
• 要不要换证书？
• 是不是要改代码？

其实，大多数情况下：

评级 B 并不代表网站危险，而是 TLS 配置仍有优化空间。

本文讲清楚：

• 为什么 SSL 评级会是 B
• 是否影响业务
• 如何升级到 A / A+

---

一、SSL 评级 B 是什么意思？

SSL 检测平台通常会根据以下维度评分：

• TLS 协议版本
• 加密套件（Cipher Suites）
• 证书安全性
• 前向安全（PFS）
• HSTS
• 已知漏洞风险

评级 B 通常表示：

✔ HTTPS 已正常启用

✔ 证书可用

✔ 浏览器可正常访问

但同时存在：

⚠️ TLS 配置偏旧

⚠️ 安全策略不够严格

⚠️ 存在可优化项

也就是说：

网站能安全访问，但未达到最佳实践。

---

二、SSL 评级 B 最常见的 4 个原因

---

1. 仍支持 TLS 1.0 / TLS 1.1

这是最常见原因。

如果服务器允许旧协议：

TLS 1.0
TLS 1.1

很多扫描平台会直接降级到 B。

为什么？

因为这些协议已过时，存在已知安全问题，现代标准已淘汰。

正确做法：

只保留 TLS 1.2 / TLS 1.3

---

2. Cipher Suite 过旧

如果启用了这些老旧加密套件：

• AES128-SHA
• AES256-SHA
• 3DES
• CBC 模式

也会导致评级下降。

现代推荐：

ECDHE + AES-GCM
ECDHE + CHACHA20

---

3. 没有启用前向安全（PFS）

如果仍使用传统 RSA 密钥交换，而不是：

ECDHE

则可能被扣分。

前向安全的好处是：

即使未来私钥泄露，历史通信内容仍难以解密。

---

4. 没有开启 HSTS

HSTS（HTTP Strict Transport Security）用于强制浏览器只走 HTTPS。

虽然不是所有平台都会因它降到 B，但它通常影响最终评级。

---

三、评级 B 会影响网站吗？

普通企业官网 / 内容站

通常影响不大：

✔ 用户正常访问
✔ 浏览器不会报错
✔ 搜索引擎可正常抓取

---

电商 / 支付 / SaaS / 企业客户项目

可能有影响：

⚠️ 客户安全审计不通过
⚠️ PCI DSS 不合规
⚠️ 企业采购方要求整改
⚠️ 被认为安全水平不足

---

四、是不是要换证书？

很多人看到 SSL 问题，第一反应是换证书。

其实大多数情况下：

评级 B 与证书无关，而是 TLS 配置问题。

---

不需要换证书的情况：

只要证书满足：

• 未过期
• 域名匹配
• 可信 CA 签发
• 使用 SHA-256

通常无需更换。

---

需要换证书的情况：

• 自签名证书
• SHA1 老证书
• 已过期
• 域名不匹配

---

五、是不是要改代码？

答案通常是：

❌ 不需要

SSL/TLS 工作在传输层，一般由：

• Nginx
• Apache
• CDN
• Load Balancer
• API Gateway

负责处理，而不是业务代码。

所以：

大多数 SSL 评级问题，只需要调整服务器配置即可。

---

六、如何快速升级到 A / A+

只做这三件事：

---

1. 禁用旧协议

关闭 TLS 1.0 / TLS 1.1
启用 TLS 1.2 / TLS 1.3

---

2. 使用现代加密套件

ECDHE + AES-GCM
ECDHE + CHACHA20

---

3. 开启 HSTS

Strict-Transport-Security

推荐：

max-age=63072000; includeSubDomains; preload

---

七、如果你使用 Nginx，参考配置如下

ssl_protocols TLSv1.2 TLSv1.3;

ssl_ciphers
ECDHE-ECDSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-CHACHA20-POLY1305:
ECDHE-RSA-CHACHA20-POLY1305;

ssl_prefer_server_ciphers on;

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

---

八、总结

如果网站 SSL 评级只有 B，不必慌张。

这通常意味着：

网站已启用 HTTPS，但 TLS 配置仍停留在旧时代。

最常见解决方式：

• 关闭 TLS 1.0 / 1.1
• 升级 Cipher Suites
• 启用 TLS 1.3
• 开启 HSTS

很多情况下：

✔ 不需要换证书

✔ 不需要改代码

✔ 只需要调整服务器配置

---

九、最后一句建议

SSL 评级 B 虽然能用，但在今天的互联网环境里：

A 才是合格线，A+ 才是优秀线。

如果你的网站面向客户、支付、企业合作伙伴，建议尽快升级到现代 TLS 配置。