亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

SSL證書的安全性和兼容性配置指南是怎樣的

發布時間:2021-12-14 17:56:57 來源:億速云 閱讀:478 作者:柒染 欄目:網絡安全

本篇文章給大家分享的是有關SSL證書的安全性和兼容性配置指南是怎樣的,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

一、SSL協議選擇

1,只使用安全協議版本TLSv1.1和TLSv1.2.

以apache為例,查招apache配置文件,找到SSLProtocol字段,去掉SSLProtocol All -SSLv2 -SSLv3 -TLSv1之前的注釋(或者自己寫也可以)。

2,如果你需要讓網站支持一些老舊的瀏覽器或操作系統,那么請輸入SSLProtocol All -SSLv2 -SSLv3即可。

二、禁止使用RC4密碼套件的必要性

2015年3月26日,國外數據安全公司Imperva的研究員Itsik Mantin在BLACK HAT ASIA 2015發表論文《Attacking SSL when using RC4》闡述了利用存在了13年之久的RC4漏洞——不變性弱密鑰(《Weakness in the Key Scheduling Algorithm of RC4》,FMS 發表于2001年)進行的攻擊,并命名為“受戒禮”攻擊(Bar Mitzvah Attack)。根據《Attacking SSL when using RC4》中的闡述,漏洞的成因主要在于不變性弱密鑰是RC4密鑰中的一個L型的圖形,它一旦存在于RC4的密鑰中,在整個初始化的過程之中保持狀態轉換的完整性。這個完整的部分包括置換過程中的最低有效位,在由RPGA算法處理的時候,決定偽隨機輸出流的最低有效位。這些偏差的流字節和明文進行過異或,導致密文中會泄露重要明文信息。

某寶平衡兼容性和安全性以后做出了保留RC4密碼套件的方法:

SSL證書的安全性和兼容性配置指南是怎樣的

如果您的服務器需要支持IE6這種古董級別的瀏覽器,那么可以支持SSLv3版本協議,如果說對兼容性沒有太大的需求,只要主流的瀏覽器能夠訪問那么就不要支持3DES系列的加密套件,如果說想要在保證安全性的同時,也要有最好的兼容性,那么就可以采取TLS1.x協議+FS加密套件配置方式進行配置。

以百度網站的兼容性為主舉例:

SSL證書的安全性和兼容性配置指南是怎樣的

以下是按照安全性從低到高,兼容性從高到低的三種加密套件配置方法:

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

三、PCI DSS合規要求

PCI安全標準委員會規定2018年6月30日之后,開啟TLS1.0將導致PCI DSS不合規。PCI DSS,全稱Payment Card Industry Data Security Standard,第三方支付行業數據安全標準,是由PCI安全標準委員會制定,力在使國際上采用一致的數據安全措施。

早在去年6月30號PCI安全標準委員會官方發表博文將于2018年6月30號(最晚),也就是本月月底禁用早期SSL/TLS,并實施更安全的加密協議(TLS v1.1或更高版本,強烈建議使用TLS v1.2)以滿足PCI數據安全標準的要求,從而保護支付數據。

所以對于支付網站,提高安全性,符合PCI DSS合規要求還是比較重要的。

解決方案:評估兼容性后,禁用TLS1.0。

以apache配置為例,SSL協議可做如下所示設置:

ssl_protocols        TLSv1.1 TLSv1.2 TLSv1.3;

在未來安全評級也將對TLS1.0做出合適的降級處理,在評估兼容性影響后,還是建議大家關閉TLS1.0, 現在TLS1.3都出來了,未來主流應該是TLS1.2+TLS1.3。

關于關閉TLS1.0的兼容性參考:大多數是比較老舊系統上自帶瀏覽器不支持,如果是主流用戶使用的Chrome、Firefox和國產瀏覽器基本都兼容。

四、優先使用FS加密套件設置方法

如果服務器沒有指定FS系列加密套件優先使用,則會相應降級:

SSL證書的安全性和兼容性配置指南是怎樣的

解決方法:以apche配置為例,打開apache配置文件httpd.conf,開啟或者加入這行字段SSLHonorCipherOrder on即可。設置FS系列加密套件以后,服務器順序優先生效:

SSL證書的安全性和兼容性配置指南是怎樣的

五、證書鏈缺失導致降級解決方法

問題:最近有人反饋在他們的域名在MySSL檢測報告中出現:

SSL證書的安全性和兼容性配置指南是怎樣的

很疑惑為什么只是證書鏈不完整就會降級到B。那在這里簡單的說明一下。

瀏覽器的處理:現代的瀏覽器都有證書自動下載的功能,但很多瀏覽器在安裝后是使用系統內置的證書庫,如果你缺失的那張CA證書,在系統的內置證書庫中不存在的話,用戶第一次訪問網站時會顯示如下情況:(以Chrome為例)

SSL證書的安全性和兼容性配置指南是怎樣的

即使你的證書確實是可信的,但依舊會顯示成不可信,只有等到瀏覽器自動把缺失的那張CA證書從網上下載下來安裝調用之后,訪問該網站才會顯示成可信狀態。

而以上所有問題,安信證書都會結合網站性質,做出最佳選擇,充分平衡網站的安全性和兼容性,帶給您“既超薄又安全”的新體驗。

以安信證書官網安裝證書為例,我們在評估兼容性和安全性后,采用了TLSv1.0+TLSv1.1+TLSv1.2的SSL協議,安全加密套件使用了不帶RC4的加密套件,并且設置了優先使用FS系列加密套件。通過myssl官網檢測,除了XP系統下IE6瀏覽器不支持外,其余都是支持的,并且安全性也得到了極大的提升,安全評估為A級。

SSL證書的安全性和兼容性配置指南是怎樣的

SSL證書的安全性和兼容性配置指南是怎樣的

SSL證書的安全性和兼容性配置指南是怎樣的

SSL證書的安全性和兼容性配置指南是怎樣的

SSL證書的安全性和兼容性配置指南是怎樣的

SSL證書的安全性和兼容性配置指南是怎樣的

SSL證書的安全性和兼容性配置指南是怎樣的

以上就是SSL證書的安全性和兼容性配置指南是怎樣的,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

ssl
AI

石城县| 边坝县| 多伦县| 桐梓县| 河津市| 雷波县| 池州市| 千阳县| 奉贤区| 曲周县| 蓝田县| 怀宁县| 宝兴县| 岗巴县| 盐山县| 宁阳县| 枣阳市| 昆明市| 邢台县| 阿拉善盟| 盘锦市| 宁陕县| 沙田区| 井陉县| 容城县| 庆安县| 平湖市| 滨海县| 淮南市| 泾源县| 茂名市| 富锦市| 阜平县| 长沙县| 西青区| 城口县| 勃利县| 县级市| 庆安县| 六盘水市| 遵化市|