SSL

如何更新 ISPConfig 3 SSL 证书

本教程描述了如何在 ISPConfig3控制面板中更新 SSL 证书。有两个可选的方法：用 OpenSSL 创建一个新的 OpenSSL 证书和 CSR。用 ISPConfig updater 更新 SSL 证书我将从用手工的方法更新 SSL 证书开始。 1）用 OpenSSL 创建一个新的 ISPConfig 3 SSL 证书用 root 用户登录你的服务器。在创建一个新的 SSL 证书之前，先备份现有的。SSL 证书是安全敏感的，因此我将它存储在 /root/ 目录下。 tar pcfz /root/ispconfig_ssl_backup.tar.gz /usr/local/ispconfig/interface/ssl chmod 600 /root/ispconfig_ssl_backup.tar.gz 现在创建

2016-01-15

1分钟阅读时长

技术

SSL/TLS 加密新纪元 - Let's Encrypt

根据 Let’s Encrypt 官方博客消息，Let’s Encrypt 服务将在下周（11 月 16 日）正式对外开放。 Let’s Encrypt 项目是由互联网安全研究小组（ISRG，Internet Security Research Group）主导并开发的一个新型数字证书认证机构（CA，Certificate Authority）。该项目旨在开发一个自由且开放的自动化 CA 套件，并向公众提供相关的证书免费签发服务以降低安全通讯的财务、技术和教育成本。在过去的一年中，互联网安全研究小组拟定了 ACME 协议草案，并首次实现了使用该协议的应用套件：服务端 Boulder 和客户端 letsencrypt。至于为什么 Let’s

2015-11-11

4分钟阅读时长

技术

使用 openssl 命令行构建 CA 及证书

这是一篇快速指南，使用 OpenSSL 来生成 CA （证书授权中心（certificate authority））、中级 CA（intermediate CA）和末端证书（end certificate）。包括 OCSP、CRL 和 CA 颁发者（Issuer）信息、具体颁发和失效日期。我们将设置我们自己的根 CA（root CA），然后使用根 CA 生成一个示例的中级 CA，并使用中级 CA 签发最终用户证书。根 CA 为根 CA 创建一个目录，并进入： mkdir -p ~/SSLCA/root/ cd ~/SSLCA/root/ 生成根 CA 的 8192 位长的 RSA 密钥： openssl genrsa -out rootca.key 8192 输出类似如下： Generating RSA pri

2015-10-30

5分钟阅读时长

系统运维

为什么 Chrome 会说你的 SHA-2 证书链是“肯定不安全的”

假如你已经完全配好了你的 SSL：使用了强加密算法、禁用了废弃的协议，而且你提供了100% SHA-2的证书链。SSL Labs给了你一个 A+ 评分，shaaaaaaaaaaaaa.com也没发现你使用了 SHA-1。但是，有些情况下，当你访问你的网站时，Chrome 仍旧会在 URL 栏处显示一个红叉，并且说你的网站提供了 SHA-1 证书，是肯定不安全的（affirmatively insecure）的：这可能吗？不幸的是，有可能。你的服务器所发送的证书也许并不是你的浏览器所使用的。在迁移到 SHA-2 的过程中不应该是这样的，但是由于某些 CA 糟糕的做法和用户使用了老旧的软件，有时候

2015-10-10

5分钟阅读时长

技术

谷歌公布放弃 RC4 和 SSLv3 的详细计划

不出所料，这周谷歌正式宣布准备放弃支持流算法 RC4 和 SSLv3 协议，这二者都有悠久的被攻击历史。该公司的一名安全工程师亚当.兰利周四在一篇博客中宣布了该计划。虽然没有一个具体的时间表，但是兰利坚称，谷歌会在适当的时段内在其所有的前端服务器、Chrome、Android、爬虫和 SMTP 服务器中放弃使用 RC4 和 SSLv3。事实上，该公司宣布放弃RC4 和 SSLv3并不令人惊讶，国际互联网工程任务组（IETF）在今年夏天发布的一个互联网标准跟踪文档（Internet Standards Track document）中宣称了 SSLv3 的死亡，说它不够安全，而且说任何版本

2015-09-25

2分钟阅读时长

新闻

增强 nginx 的 SSL 安全性

本文向你介绍如何在 nginx 服务器上设置健壮的 SSL 安全机制。我们通过禁用 SSL 压缩来降低 CRIME 攻击威胁；禁用协议上存在安全缺陷的 SSLv3 及更低版本，并设置更健壮的加密套件（cipher suite）来尽可能启用前向安全性（Forward Secrecy）；此外，我们还启用了 HSTS 和 HPKP。这样我们就拥有了一个健壮而可经受考验的 SSL 配置，并可以在 Qually Labs 的 SSL 测试中得到 A 级评分。如果不求甚解的话，可以从 https://cipherli.st 上找到 nginx 、Apache 和 Lighttpd 的安全设置，复制粘帖即可。本教程在 Digital Ocean 的 VPS 上测试

2015-05-04

10分钟阅读时长

系统运维

如何在Ubuntu 14.04 上为Apache 2.4 安装SSL支持

今天我会讲述如何为你的个人网站或者博客安装SSL 证书，来保护你的访问者和网站之间通信的安全。安全套接字层或称SSL，是一种加密网站和浏览器之间连接的标准安全技术。这确保服务器和浏览器之间传输的数据保持隐私和安全。它被成千上万的人使用来保护他们与客户的通信。要启用SSL链接，Web服务器需要安装SSL证书。你可以创建你自己的SSL证书，但是这默认不会被浏览器所信任，要解决这个问题，你需要从受信任的证书机构（CA）处购买证书，我们会向你展示如何获取证书并在apache中安装。生成一个证书签名请求证书机构（CA）会要求你在

2015-02-17

3分钟阅读时长

系统运维