如何部署SSL服务器证书更安全
(By www.morong.me)很多人经常跟我提起,现在SSL部署变得越来越简单,大部分的时候通过搜索引擎或者通过阅读一些技术人员写的博客基本上都可以完成一个SSL证书在各类服务器上 的部署。尽管SSL与HTTPS服务于各行业站点做加密已经很长时间了,他们仍然不只是安装上去那么简单,在证书的背后,还有一些问题:使用新的更加安全 的加密套件,站点内容是否包含有不安全的内容,等等,通过对这些问题的深入讨论,SSL在服务器上的部署就不那么看似简单了。
对于防止黑客的入侵和截获网络资源一直以来是安全行业前进的驱动力,更多的专家不断的在提出新的方案设计和构建更加安全的防护系统,网络安全协议作为其中之一,一直以来更新的网络安全协议的更新,都是旨在为提高网络服务的安全性,保证在线交易服务尽可能的不受到最新风险的威胁。
这种情况的出现也需要系统管理员不断的调整网络服务器上的安全策略,去年被广为推崇的最好的方案在今年可能已经完全不再适用。因此对于系统管理员的要求也是需要不断的提高在安全性上的认知,同时也需要获取更新的安全信息,优化SSL在服务器上的部署,以寻求尽可能保障服务器的安全。
在提高网络服务器的SSL部署优化方面,我们通常建议系统管理员注意:
使用更加安全的加密套件
这是SSL配置使得系统管理员更为迷惑的部分之一,同时它也是最重要的一个,无论目前所使用的证书的私钥长度有多么强大,但是SSL的加密套件同时也是很重要的,因为它加密了会话密钥。
对于这一点,我们提出对常见的服务器支持的方案
Apache
SSLProtocol all -SSLv2 -SSLv3;
SSLCipherSuite "ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!3DES:!MD5:!ADH:!RC4:!DH:!DHE"
SSLHonorCipherOrder on;
Nginx
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!3DES:!MD5:!ADH:!RC4:!DH:!DHE;
ssl_prefer_server_ciphers on;
IIS
IIS只需要更新微软的最新补丁就可以了。
这些设定基于服务器的强度加密,互操作性是同时需要服务器和客户端支持的,也就是说如果在服务器上已经配置了更新的加密套件,也需要尽可能使用比较新的浏览器,例如Chrome/Firefox。
在SSL协议下禁用不安全的HTTP调用
通常,我们通过浏览器访问一个已经部署了SSL的网站,如果这个网站中包含了一些非HTTPS的内容调用,这些内容可能是图片,外站 Javascript,或者其他的一些网页内的资源,导致了当访问这个网站时,浏览器会提醒当前网站中包含一些不安全的内容,从而无法正常显示加密状态的 锁状标志。
对于这种情况,最简单的办法一般就是通过Chrome浏览器按F12键来查看里面的外链,把里面的HTTP的外链只要尽数将其更改至HTTPS协议保护下的资源,或者把图片和js文件修改为相对路径就可以解决如上图所提示的问题。
在服务器的安全优化以及部署上,本文可能还有很多没有提及的问题,同时,安全性也不仅仅是软件问题,同时存在于硬件,例如路由器,防火墙等。
在计算机计算能力迅速发展的今天,对于层出不穷的各种网络攻击事件,对于系统管理员来讲不仅需要进行日常系统提供的安全更新;同时更应该深入到安全协议层面,只有对协议更加了解,才能防护针对于对协议层面出现的攻击。
所以一个看似简单的SSL部署,其可能涉及到的内容并没有那么简单!
发表评论
-
十大免费时间戳地址
2017-12-29 14:35 1263什么是时间戳: 时间戳(timestamp),一个能表示一 ... -
1键搞定HTTPS
2015-08-28 09:03 5沃通(WoSign)于2015年8月13日正式发布了SS ... -
微软EV代码签名证书
2015-08-26 08:47 549沃通WoSign EV代码签名证书(多用途版)今日正式上线! ... -
https证书是网购站点的必备利器
2014-10-29 17:17 425https证书是网购站点的必备利器 网购商品现在已 ... -
您登录邮箱的地址栏是否是https开头?
2014-10-21 10:37 452登录邮箱,注意地址栏是否是https开头 Google为 ... -
如何防护SSL V3.0漏洞
2014-10-15 16:51 586我们刚刚从 OpenSSL官网了解到SSLv3 - Poodl ... -
Cisco WebEx设备ssl证书安装指南
2014-10-11 11:50 758大家好,今天天气不错,也刚好接触了Cisco的一款新的在线会议 ... -
PKI技术能否保障云计算的安全与可信?
2014-10-09 08:58 385由于互联网的急速发展,存储、计算机能量消耗,数据急剧增 ... -
如何让百度更好的收录https站点
2014-09-29 09:50 451百度搜索引擎目前不主动抓取https网页,导致大部分https ... -
活动来了... "迎国庆,好礼大放送"
2014-09-28 17:24 474从2004年开始,沃通(WoSign)专注提供一站式各 ... -
解决ios7.1系统下载APP失败的问题
2014-09-16 09:17 1106iOS 7.1下itms-services在线安装失败的解决方 ... -
从各大高校到12306网站看SSL问题
2014-09-15 10:30 463最近闲来无事,看了许 ... -
开始使用我的部落格
2014-09-15 09:18 457很高兴在这里和大家分享我的学习过程,希望在这里认识更多的朋友 ...
相关推荐
SSL服务器证书是网络安全的关键组成部分,它们为网站提供身份验证和数据加密服务。当用户访问一个启用SSL的网站时,浏览器会与服务器交换证书,验证服务器的身份,并建立一个加密的连接。这个过程通常称为SSL握手。...
本视频教程将指导您逐步完成在Apache服务器上部署SSL证书的过程。首先,我们需要理解SSL证书的组成和作用。SSL证书通常由受信任的证书颁发机构(CA)签发,包含服务器的公钥以及关于服务器的识别信息,如域名、组织...
本教程将详细介绍如何在Nginx应用服务器上部署SSL证书,以实现HTTPS安全连接。 1. **理解SSL和TLS** SSL是早期的加密传输协议,而TLS(Transport Layer Security)是其现代版本,两者通常被一起提及。它们的主要...
当我们在Tomcat服务器上部署SSL证书时,可以保证数据传输的安全性。SSL证书的部署是将数字证书绑定到服务器上,实现HTTPS加密通信。本文档将介绍如何在Tomcat服务器上成功部署SSL证书。 首先,获取SSL证书。通常,...
SSL证书在线生成系统源码是实现网站安全的重要工具,它基于公钥基础设施(PKI)原理,用于在互联网上建立安全的数据传输通道。本系统允许用户通过在线方式申请并生成SSL证书,简化了传统SSL证书获取流程,提升了用户...
本文将详细讲解如何在四种常见的服务器平台上部署SSL证书:Apache、IIS、Nginx和Tomcat。 1. **Apache服务器安装SSL证书** Apache服务器是开源的Web服务器,使用mod_ssl模块来支持SSL协议。安装步骤如下: - **...
为了增强网站的安全性,确保用户数据传输过程中的隐私保护,部署SSL(Secure Socket Layer)证书至关重要。SSL证书通过加密通信,使得在客户端(如浏览器)和服务器之间传输的数据不被第三方窃取或篡改。 ### **一...
本文档提供了Nginx SSL证书的部署方法,旨在帮助用户快速部署SSL证书,提高Nginx服务器的安全性。 一、 安装SSL证书的环境 要部署SSL证书,需要具备以下环境: * Linux服务器一台 * Nginx服务安装 * SSL证书一张...
在IIS管理器中,选择需要启用SSL的网站,打开“属性”对话框,选择“目录安全性”选项卡,然后点击“服务器证书”按钮,导入你刚刚导入的SSL证书。 2.3.1 安全签章安装 在导入证书后,系统可能会提示配置安全签章,...
总之,PHPStudy SSL证书批量替换工具是Windows服务器管理员和PHP开发者的一大利器,它简化了SSL证书管理,提高了安全性,同时也降低了维护成本。通过熟练运用这样的工具,我们可以更高效地管理和维护基于PHPStudy的...
Nginx是一款高性能的HTTP和...通过以上步骤,你就能在Nginx服务器上成功配置SSL证书,使网站支持HTTPS安全访问。这不仅能保护用户数据安全,还能提高搜索引擎排名,因为现代搜索引擎倾向于优先展示支持HTTPS的网站。
4. 签署服务器证书:使用_intermediate_证书签署CSR,得到服务器的SSL证书。 5. 安装证书:将生成的服务器证书和_intermediate_证书安装到服务器上,完成配置。 HTTPS协议是HTTP(超文本传输协议)与SSL/TLS...
服务器证书,又称SSL/TLS证书,用于保护网站与用户的通信安全。当用户访问一个使用HTTPS的网站时,服务器会提供这个证书,证明其身份。证书包含网站的公钥,用于建立加密连接。自签署的服务器证书同样适用于内部网络...
5. 部署证书:用户将生成的SSL证书下载并安装到其服务器上,完成安全配置。 三、系统架构 该可运营的SSL证书在线生成系统可能包括以下几个核心模块: 1. 用户管理模块:负责用户注册、登录、权限管理等功能。 2. ...
4. **安装和配置**:将生成的证书和私钥部署到服务器,并配置相关的SSL设置。 了解并掌握SSL证书的生成和使用是网络安全的基本技能之一,这对于网站管理员、开发者以及任何涉及网络数据传输安全的角色都非常重要。...
**三、部署SSL证书** 1. **安装证书**: 完成申请后,证书颁发机构会签发SSL证书。将这个证书下载并导入到服务器的证书存储中。在IIS 6.0中,这可以通过"Internet服务管理器"进行。 2. **绑定证书**: 将已安装的SSL...
4. 客户端同样验证服务器证书的有效性。 在编程环境中,例如在Node.js中,可以使用`https`模块配置客户端和服务器的证书: ```javascript const https = require('https'); const options = { key: fs....