`
WS_Daniel
  • 浏览: 24605 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

怎么让SSL证书部署在服务器上更加完美安全——知识分享

阅读更多
很多人经常跟我提起,现在SSL部署变得越来越简单,大部分的时候通过搜索引擎或者通过阅读一些技术人员写的博客基本上都可以完成一个SSL证书在各类服务 器上的部署。尽管SSL与HTTPS服务于各行业站点做加密已经很长时间了,他们仍然不只是安装上去那么简单,在证书的背后,还有一些问题:使用新的更加 安全的加密套件,站点内容是否包含有不安全的内容,等等,通过对这些问题的深入讨论,SSL在服务器上的部署就不那么看似简单了。
    对于防止黑客的入侵网络资源一直以来是安全行业前进的驱动力,更多的专家不断的在提出新的方案设计和构建更加安全的防护系统,网络安全协议作为其中之一,一直以来更新的网络安全协议的更新,都是旨在为提高网络服务的安全性,保证在线交易服务尽可能的不受到最新风险的威胁。
    这种情况的出现也需要系统管理员不断的调整网络服务器上的安全策略,去年被广为推崇的最好的方案在今年可能已经完全不再适用。因此对于系统管理员的要求也是需要不断的提高在安全性上的认知,同时也需要获取更新的安全信息,优化SSL在服务器上的部署,以寻求尽可能保障服务器的安全。

 

    在提高网络服务器的SSL部署优化方面,我们通常建议系统管理员注意:
使用更加安全的加密套件
这是SSL配置使得系统管理员更为迷惑的部分之一,同时它也是最重要的一个,无论目前所使用的证书的私钥长度有多么强大,但是SSL的加密套件同时也是很重要的,因为它加密了会话密钥。
                                 
                              
对于这一点,我们提出对常见的服务器支持的方案
 
Apache
SSLProtocol-ALL +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2;
SSLCipherSuite"EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDHEDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
SSLHonorCipherOrderon;
Nginx
ssl_protocolsSSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers"EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL!eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
ssl_prefer_server_cipherson;
 
     这些设定基于服务器的强度加密,互操作性是同时需要服务器和客户端支持的,也就是说如果在服务器上已经配置了更新的加密套件,也需要尽可能使用比较新的浏览器,例如Chrome/Firefox。
在SSL协议下禁用不安全的HTTP调用


通常,我们通过浏览器访问一个已经部署了SSL的网站,如果这个网站中包含了一些非HTTPS的内容调用,这些内容可能是图片,外站 Javascript,或者其他的一些网页内的资源,导致了当访问这个网站时,浏览器会提醒当前网站中包含一些不安全的内容,从而无法正常显示加密状态的锁状标志。

                                
 
对于这种情况,最简单的办法一般就是通过Chrome浏览器自带的开发者工具,在控制台中重新加载当前页面,所有有问题的资源将会显示在控制台中,只要尽数将其更改至HTTPS协议保护下的资源,就可以解决如上图所提示的问题。
在服务器的安全优化以及部署上,本文可能还有很多没有提及的问题,同时,安全性也不仅仅是软件问题,同时存在于硬件,例如路由器,防火墙等。
在计算机计算能力迅速发展的今天,对于层出不穷的各种网络攻击事件,对于系统管理员来讲不仅需要进行日常系统提供的安全更新;同时更应该深入到安全协议层面,只有对协议更加了解,才能防护针对于对协议层面出现的攻击。

 

所以一个看似简单的SSL部署,其可能涉及到的内容并没有那么简单。
分享到:
评论

相关推荐

    Apache ——SSL服务器证书视频部署操作指南

    视频教程《Apachessl证书安装教程.swf》将通过实际操作演示这些步骤,让您可以直观地学习并实践SSL证书在Apache服务器上的部署。请确保遵循所有安全最佳实践,保护您的服务器和用户数据的安全。

    免费 SSL 安全证书

    StartCom免费提供个人使用的StartSSL™ Free服务,基于Class 1级别的X.509 SSL安全证书,主要提供Web服务器(SSL/TLS)及电子邮件加密(S/MIME)认证。此外,还提供了更高级别的2级和3级证书以及扩展验证证书...

    HTTPS权威指南:在服务器和Web应用上部署SSLTLS和PKI(Ivan Ristic[英] 著,杨洋 等 译)

    本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:密码学基础,TLS协议,PKI体系及其安全性,HTTP和浏览器问题,协议漏洞;最新的攻击形式,如BEAST、CRIME、BREACH、...

    服务器安装文件——SVN

    在这个"服务器安装文件——SVN"的压缩包中,很显然包含的是用于在一台机器上搭建SVN服务器所需的所有组件和指南。 1. **SVN服务器安装**:安装SVN服务器通常涉及到以下几个步骤: - 首先,你需要选择一个操作系统...

    网络安全和管理实验报告.pdf

    《网络安全和管理实验报告》主要围绕着网络安全中的一个重要环节——SSL协议的配置进行阐述,旨在深化学生对网络安全的理解,特别是SSL在应用层的功能及其在万维网服务器上的部署。实验内容分为两大方面:Windows...

    Windows +tomcat +SSL

    - 在实际部署中,建议使用权威机构颁发的证书而非自签名证书,以提高安全性。 - 在生成证书的过程中,确保设置强密码以保护私钥的安全。 - 在配置过程中,确保所有路径都正确无误,避免因路径错误导致配置失败。 - ...

    HTTPS协议配置——提高网站安全性.doc

    HTTPS(Hypertext Transfer Protocol Secure)协议是一种在互联网上安全传输数据的协议,它是HTTP的安全版本,通过使用SSL/TLS(Secure Sockets Layer/Transport Layer Security)协议来加密通信过程,确保用户与...

    squid-2.7 SSL For Windows

    综上所述,"Squid-2.7 SSL For Windows" 包含了在 Windows 平台上搭建并运行带有 SSL 支持的 Squid 代理服务器所需的关键知识点。这涉及到缓存技术、SSL/TLS 安全通信、代理服务器配置、以及在 Windows 环境下的系统...

    常见网络安全设备简介.pptx

    常见应用安全产品——web应用防火墙(WAF) 路由器 核心交换机 接入交换机 接入交换机 接入交换机 Web应用服务器群 WAF Web应用防火墙串联透明部署在Web服务器的前端,在物理层面是Web服务器的前端多了一台硬件设备...

    精通BEA WebLogic Server——构建与部署J2EE应用的最佳策略

    总的来说,《精通BEA WebLogic Server——构建与部署J2EE应用的最佳策略》这本书是WebLogic Server使用者的必备参考,它提供了全面的知识和实用的技巧,帮助读者成为J2EE开发和运维的专家。通过阅读和实践书中的内容...

    itisscg.zip

    6. **安装SSL证书**:最后,将收到的SSL证书安装在服务器上,配置好相关设置,使服务器能够使用新的SSL证书提供安全的HTTPS服务。 “itisscg.exe”的使用可能简化了这个流程,让非专业人员也能轻松生成和管理SSL...

    Android社交分享平台——口袋微博.rar

    本压缩包文件“Android社交分享平台——口袋微博”即为针对这一领域的实践成果,旨在探讨如何在Android平台上构建一个功能完备、用户体验优秀的社交分享平台。 首先,我们要了解Android开发的基础。Android应用主要...

    微软 Lync Server 2010 标准版部署体验——规划准备篇

    证书需求则是指使用SSL证书来确保通讯的安全。端口需求关注了Lync Server 2010使用的各种网络端口。最后,IIS需求是指为了部署Lync Server 2010所需的IIS配置。 部署步骤简述包括为Lync Server 2010安装操作系统并...

    中间件——WEB服务器软件.docx

    此外,Apache支持服务器端包含指令(SSI)和SSL协议,确保数据传输的安全性。通过扩展,Apache还可以支持FastCGI,Java Servlets以及更多功能。 Apache的历史源自NCSA HTTPd服务器,当NCSA项目停止后,开发者们继续...

    网络安全实验报告 CA认证及其应用

    本实验报告“网络安全实验报告 CA认证及其应用”深入探讨了网络安全中的一个关键概念——CA(Certification Authority)认证,以及其在实际应用中的作用。 CA认证是公钥基础设施(PKI,Public Key Infrastructure)...

    weblogic_tls及ssl类漏洞修复方案

    标题中的“weblogic_tls及ssl类漏洞修复方案”是指一套旨在针对Oracle WebLogic服务器中TLS(传输层安全协议)和SSL(安全套接层)相关安全漏洞的修复措施。TLS和SSL是广泛用于互联网通信加密的技术,能够保证数据...

    数据安全(RSA密钥加密解密签名、证书、tomcat)

    总结来说,RSA 密钥加密解密、数字签名和数字证书是保障网络通信安全的基础技术,而 Tomcat 的 SSL 配置则是这些技术在实际应用中的具体实现。理解并掌握这些知识对于构建安全的 Web 应用和服务至关重要。在实践中,...

    在线购物系统云上部署JDShop

    通过以上步骤,一个完整的在线购物系统——JDShop便可以在云服务器上成功部署并运行。这个过程既是对技术的实践,也是对问题解决能力的锻炼。对于初学者,这是一个很好的学习机会,通过实际操作,可以深入理解服务器...

Global site tag (gtag.js) - Google Analytics