欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

GlobalSign教你如何更加安全的部署SSL证书

来源:本站转载 作者:佚名 时间:2014-03-01 TAG: 我要投稿

 很多人经常跟我提起,现在SSL部署变得越来越简单,大部分的时候通过搜索引擎或者通过阅读一些技术人员写的博客基本上都可以完成一个SSL证书在各类服务器上的部署。尽管SSL与HTTPS服务于各行业站点做加密已经很长时间了,他们仍然不只是安装上去那么简单,在证书的背后,还有一些问题:使用新的更加安全的加密套件,站点内容是否包含有不安全的内容,等等,通过对这些问题的深入讨论,SSL在服务器上的部署就不那么看似简单了。

对于防止黑客的入侵和盗窃网络资源一直以来是安全行业前进的驱动力,更多的专家不断的在提出新的方案设计和构建更加安全的防护系统,网络安全协议作为其中之一,一直以来更新的网络安全协议的更新,都是旨在为提高网络服务的安全性,保证在线交易服务尽可能的不受到最新风险的威胁。

这种情况的出现也需要系统管理员不断的调整网络服务器上的安全策略,去年被广为推崇的最好的方案在今年可能已经完全不再适用。因此对于系统管理员的要求也是需要不断的提高在安全性上的认知,同时也需要获取更新的安全信息,优化SSL在服务器上的部署,以寻求尽可能保障服务器的安全。

在提高网络服务器的SSL部署优化方面,我们通常建议系统管理员注意:

使用更加安全的加密套件

这是SSL配置使得系统管理员更为迷惑的部分之一,同时它也是最重要的一个,无论目前所使用的证书的私钥长度有多么强大,但是SSL的加密套件同时也是很重要的,因为它加密了会话密钥。

对于这一点,我们提出对常见的服务器支持的方案

Apache

SSLProtocol -ALL +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2;

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

SSLHonorCipherOrder on;

Nginx

ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

ssl_prefer_server_ciphers on;

这些设定基于服务器的强度加密,互操作性是同时需要服务器和客户端支持的,也就是说如果在服务器上已经配置了更新的加密套件,也需要尽可能使用比较新的浏览器,例如Chrome/Firefox。

在SSL协议下禁用不安全的HTTP调用

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载