SSL

如何更新 ISPConfig 3 SSL 证书

本教程描述了如何在 ISPConfig3控制面板中更新 SSL 证书。有两个可选的方法: 用 OpenSSL 创建一个新的 OpenSSL 证书和 CSR。 用 ISPConfig updater 更新 SSL 证书 我将从用手工的方法更新 SSL 证书开始。 1)用 OpenSSL 创建一个新的 ISPConfig 3 SSL 证书 用 root 用户登录你的服务器。在创建一个新的 SSL 证书之前,先备份现有的。SSL 证书是安全敏感的,因此我将它存储在 /root/ 目录下。 tar pcfz /root/ispconfig_ssl_backup.tar.gz /usr/local/ispconfig/interface/ssl chmod 600 /root/ispconfig_ssl_backup.tar.gz 现在创建
2016-01-15
1分钟阅读时长

SSL/TLS 加密新纪元 - Let's Encrypt

根据 Let’s Encrypt 官方博客消息,Let’s Encrypt 服务将在下周(11 月 16 日)正式对外开放。 Let’s Encrypt 项目是由互联网安全研究小组(ISRG,Internet Security Research Group)主导并开发的一个新型数字证书认证机构(CA,Certificate Authority)。该项目旨在开发一个自由且开放的自动化 CA 套件,并向公众提供相关的证书免费签发服务以降低安全通讯的财务、技术和教育成本。在过去的一年中,互联网安全研究小组拟定了 ACME 协议草案,并首次实现了使用该协议的应用套件:服务端 Boulder 和客户端 letsencrypt。 至于为什么 Let’s
2015-11-11
4分钟阅读时长

使用 openssl 命令行构建 CA 及证书

这是一篇快速指南,使用 OpenSSL 来生成 CA (证书授权中心 (certificate authority))、 中级 CA(intermediate CA)和末端证书(end certificate)。包括 OCSP、CRL 和 CA 颁发者(Issuer)信息、具体颁发和失效日期。 我们将设置我们自己的根 CA(root CA),然后使用根 CA 生成一个示例的中级 CA,并使用中级 CA 签发最终用户证书。 根 CA 为根 CA 创建一个目录,并进入: mkdir -p ~/SSLCA/root/ cd ~/SSLCA/root/ 生成根 CA 的 8192 位长的 RSA 密钥: openssl genrsa -out rootca.key 8192 输出类似如下: Generating RSA pri
2015-10-30
5分钟阅读时长

为什么 Chrome 会说你的 SHA-2 证书链是“肯定不安全的”

假如你已经完全配好了你的 SSL:使用了强加密算法、禁用了废弃的协议,而且你提供了100% SHA-2的证书链。SSL Labs给了你一个 A+ 评分,shaaaaaaaaaaaaa.com也没发现你使用了 SHA-1。但是,有些情况下,当你访问你的网站时,Chrome 仍旧会在 URL 栏处显示一个红叉,并且说你的网站提供了 SHA-1 证书,是肯定不安全的(affirmatively insecure) 的: 这可能吗?不幸的是,有可能。你的服务器所发送的证书也许并不是你的浏览器所使用的。在迁移到 SHA-2 的过程中不应该是这样的,但是由于某些 CA 糟糕的做法和用户使用了老旧的软件,有时候
2015-10-10
5分钟阅读时长

谷歌公布放弃 RC4 和 SSLv3 的详细计划

不出所料,这周谷歌正式宣布准备放弃支持流算法 RC4 和 SSLv3 协议,这二者都有悠久的被攻击历史。 该公司的一名安全工程师亚当.兰利周四在一篇博客中宣布了该计划。虽然没有一个具体的时间表,但是兰利坚称,谷歌会在适当的时段内在其所有的前端服务器、Chrome、Android、爬虫和 SMTP 服务器中放弃使用 RC4 和 SSLv3。 事实上,该公司宣布放弃RC4 和 SSLv3并不令人惊讶,国际互联网工程任务组(IETF)在今年夏天发布的一个互联网标准跟踪文档(Internet Standards Track document)中宣称了 SSLv3 的死亡,说它不够安全,而且说任何版本
2015-09-25
2分钟阅读时长

增强 nginx 的 SSL 安全性

本文向你介绍如何在 nginx 服务器上设置健壮的 SSL 安全机制。我们通过禁用 SSL 压缩来降低 CRIME 攻击威胁;禁用协议上存在安全缺陷的 SSLv3 及更低版本,并设置更健壮的加密套件(cipher suite)来尽可能启用前向安全性(Forward Secrecy);此外,我们还启用了 HSTS 和 HPKP。这样我们就拥有了一个健壮而可经受考验的 SSL 配置,并可以在 Qually Labs 的 SSL 测试中得到 A 级评分。 如果不求甚解的话,可以从 https://cipherli.st 上找到 nginx 、Apache 和 Lighttpd 的安全设置,复制粘帖即可。 本教程在 Digital Ocean 的 VPS 上测试
2015-05-04
10分钟阅读时长

如何在Ubuntu 14.04 上为Apache 2.4 安装SSL支持

今天我会讲述如何为你的个人网站或者博客安装SSL 证书,来保护你的访问者和网站之间通信的安全。 安全套接字层或称SSL,是一种加密网站和浏览器之间连接的标准安全技术。这确保服务器和浏览器之间传输的数据保持隐私和安全。它被成千上万的人使用来保护他们与客户的通信。要启用SSL链接,Web服务器需要安装SSL证书。 你可以创建你自己的SSL证书,但是这默认不会被浏览器所信任,要解决这个问题,你需要从受信任的证书机构(CA)处购买证书,我们会向你展示如何获取证书并在apache中安装。 生成一个证书签名请求 证书机构(CA)会要求你在
2015-02-17
3分钟阅读时长