SSL证书部署最佳实践

924 263

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

为了让系统管理员轻松部署安全站点或应用,本篇将讲解SSL/TLS部署最佳实践。

在SSL/TLS中,所有安全都始于服务器的密码标识。因此需要一个强大的私钥来防止攻击。另外,拥有一张有效且强大的证书也是至关重要的,它能授予私钥代表特定主机名的权利。没有这两个基本构建块,任何东西都无法得到安全保障。

对于大多数网站来说,2048位RSA密钥足以保障其安全性了。RSA加密算法的普遍应用使得这种类型的密钥成为默认的安全选择。如果是2048位,这类密钥提供了相当于112位的安全性。如果您想要比这更高的安全性,如128位的安全性,您需要3072位的RSA密钥,但是RSA加密算法的扩展性不太好,3072位的RSA密钥将会影响性能。ECDSA密钥提供了一种替代方案,可以给予更高的安全性和更好的性能。ECDSA密钥为256位,提供128位的安全性。少数老旧的客户端不支持ECDSA,但现代客户端能支持。如果您不介意管理此类设置的开销,则可以同时部署支持RSA和ECDSA加密算法的SSL证书。

私钥是非常重要的资产之一,需限制访问私钥人数,同时建议您采取以下策略保护私钥:

确保您的SSL证书覆盖您希望用于所有站点域名,否则无效证书警告会降低用户对该站点的信任度。经验法则是,安全的Web服务器应该具备这样一个证书,该证书对于指向它的每个DNS名称都有效。

通配符证书有其用途而且能满足更广泛的需求,但在跨团队或部门情况下,使用通配符证书时容易将密钥暴露给很多人。为控制访问私钥人数防止私钥被滥用,这种情况下请避免使用通配符证书。

请确保将所有必要的域名添加到使用者可选名称(SAN),因为所有最新的浏览器都不会通过检查通用名称进行验证。

选择认真对待其证书业务和安全性的可信证书颁发机构,即CA。选择CA时,请参考以下标准:

证书安全性取决于私钥的强度和签名中使用的散列函数强度。如今SHA1散列函数的证书被普遍认为是不安全的,所以最好安装使用SHA256散列函数的证书。

DNSCAA是一项防止HTTPS证书错误颁发的安全措施,CAA标准可以允许域名所有者限制能为其域名颁发证书的CA。如果没有CAA记录,那么任何人都能为该域名生成CSR并获取任何CA签发的证书。使用DNSCAA记录,可以减少欺诈证书的出现,从而使站点更加安全。如果CA启用自动签发证书的流程,那么就应该检查DNSCAA记录,这样可以减少错误颁发证书的风险。

建议通过为您的证书添加CAA记录将CA列入白名单。添加您信任的CA为您颁发证书。

正确的SSL服务器配置可以让您的网站身份能正常向用户展示以增强信任,并能使用安全的加密原语以缓解所有已知的缺陷。

在部署SSL证书时,仅靠服务器证书是不够的,这就需要两个或多个证书来建立完整的信任链。如果您部署了一个有效证书,但却缺少必要的中间证书,那么就会出现常见的配置问题。为避免这种情况的发生,您需要按相应顺序部署CA提供给您的所有证书。

SSL/TLS系列中有六种协议:SSL2.0、SSL3.0、TLS1.0、TLS1.1、TLS1.2和TLS1.3:

要确保安全通信,必须首先确定您是直接与所需方通信(而不是通过窃听的其他人)并安全地交换数据。在SSL和TLS中,密码套件定义了安全通信的发生方式。它们由不同的构建块组成,其理念是通过多样性实现安全。如果发现其中一个构建块薄弱或不安全,您应该能够切换到另一个构建块。

目前主要依赖提供强身份验证和密钥交换、前向保密和至少128位加密的AEAD套件。可能仍然有支持其他一些较弱的套件,前提是它们仅与不支持任何更好的旧客户端协商。下面是一些过时的密码原语,建议不要使用:

建议使用AEAD或PFS密码套件:

以下是专为RSA和ECDSA密钥设计的套件配置:

以上示例配置使用标准的TLS套件名称。一些平台使用非标准名称;有关更多详细信息,请参阅您平台的文档。例如,以下套件名称将与OpenSSL一起使用:

在SSL3.0及更高版本的协议中,客户端需提交他们支持的密码套件列表,服务器从列表中选择一个用于连接的套件。然而,并非所有服务器都能做出最佳选择。有些服务器会从客户端列表中选择第一个支持的套件。因此,让服务器主动选择最佳可用密码套件才能使SSL部署安全达到最佳化。

前向保密(也称完美前向保密,简称PFS),它是一种协议功能,可不依赖于服务器私钥实现安全对话。如果不使用前向保密的密码套件,他人就能恢复服务器私钥,进而解密所有先前记录下来加密对话。使用ECDHE套件就能在Web浏览器中启用前向保密。为了支持更广泛的客户端,您还应该使用DHE套件作为ECDHE后备。除非绝对必要,请避免RSA密钥交换。

对于密钥交换,公共站点通常可以选择常用的Diffie-Hellman密钥交换(DHE)或椭圆曲线变体ECDHE。RSA密钥交换应用非常广泛,但它不提供前向保密。当然还有其他密钥交换算法,但它们通常不安全。

2015年,一组研究人员发表了针对DHE的新攻击,他们的工作被称为Logjam攻击。研究人员发现,较低强度的DH密钥交换(例如768位)很容易被破解。为了安全起见,如果部署DHE,请至少配置2048位。一些老版本的客户端(例如Java6)可能不支持这种强度级别。ECDHE相比之下性能更高、更快速。secp256r1命名曲线(也称为P-256)是一个不错的选择。

THE END

如何使用OpenSSL检查Linux中的SSL证书公钥服务器linux命令提示符openssl

网络安全零门槛手把手教你申请永久免费SSL证书

https的简单介绍及SSL证书的生成

基于Wireshark抓包浅谈对HTTPS的理解(TLSSSL数字证书数字签名)

如何创建上传获取和删除CSR数字证书管理服务(原SSL证书)(SSLCertificate)

一篇文了解SSL证书中的RSA算法ECC算法

https自签名SSL证书aaronagu

SSL证书部署最佳实践

httpsTLS/SSL高级进阶前端的bigboom

SSL证书格式有哪些?SSL证书格式详解

1.nginx配置证书和私钥进行SSL通信验证@[toc]一背景正常项目的文章主要介绍了nginx配置证书和私钥进行SSL通信验证的相关内容,包括密钥和证书的概念及关系,nginx支持的证书类型、格式,配置文件中相关参数,不同格式证书能否包含私钥,创建私钥、证书请求、证书的命令,区分证书中是否含私钥的方法,多文件合并及不同格式文件查看方式,以及具体实施操作和重启nginx验证生效的步骤。 https://article.juejin.cn/post/7464036507452981260
2.车辆安全中的证书与密钥介绍与配置模拟电子头条在实际应用中,CRT、CER、KEY等证书和密钥文件,它们各自遵循特定的结构规范,在存储为物理文件时,可以根据需要选择PEM格式或DER格式。 具体来说,CER格式通常用于Windows系统中的证书文件,它符合Windows系统对证书文件的特定要求。CRT格式则更多地用于Linux系统中的证书,它包含了公钥和主体信息等关键内容,是Linux系统中常见https://www.eeworld.com.cn/emp/aes/a392712.jspx
3.支付宝公钥和密钥支付宝公钥怎么获取支付宝公钥和密钥 支付宝公钥怎么获取 项目需要,需要在客户端集成支付宝接口。就研究了一下:因为使用支付宝接口,就需要到支付宝官网:注册帐号,并申请。下面讲的是申请好之后的操作。登录成功之后, 店家我的商家服务—在页面的下方找到——>签约管理—>找打 移动支付—–>点击下载集成文档—>跳到新的页面,在页面https://blog.51cto.com/u_16213627/13226991
4.SSL证书的申请与配置(2024版)3篇.docxSSL证书申请资料要求3.SSL证书配置相关事项3.1SSL证书配置步骤3.2SSL证书配置环境要求3.3SSL证书配置人员要求3.4SSL证书配置所需工具4.SSL证书使用规范4.1SSL证书使用范围4.2SSL证书使用限制4.3SSL证书使用安全保障4.4SSL证书使用违规处理5.SSL证书维护相关事项5.1SSL证书维护内容5.2SSL证书维护周期5.3SSL证书维护费用5.4SSL证书https://www.renrendoc.com/paper/384370817.html
5.ssl证书密钥内容在哪看猜你喜欢:ssl证书密钥内容在哪看到呢?ssl证书的有效性就到了。我们可以通过使用TLS协议申请一个TLS证书,以便在浏览器上看到证书的有效性。证书有效期是多久?ssl证书到期前,我们需要将证书部署到服务器上进行使用,以便在浏览器上看到证书的有效期,可以设置有效期。如何设置TLS版本SSL证书,更加详细的流程描述以及TLS版本https://www.huaweicloud.com/zhishi/edits-18335634.html
6.SSL证书包括哪些内容?4. 证书类型和密钥算法 SSL 证书也包括证书类型和密钥算法的信息。证书可以是单个域名、多个域名、泛域或扩展验证(EV)证书。此外,证书还包括用于加密通信的数字密钥算法,如RSA或ECC等。 5. 数字签名 SSL 证书最重要的内容是数字签名。证书颁发机构使用其私钥对证书进行签名,以证明证书是由该机构颁发的。当用户请求https://www.zwtrus.com/detail?article_id=68
7.SSL常见问题解答SSL卸载与加速SSL 证书密钥生成工具,使您能够创建以下文件: 证书请求 自签名证书 RSA 密钥 DH 参数 我想使用 NetScaler 设备的 SSL 卸载功能。接收 SSL 证书的各种选项有哪些 必须先收到 SSL 证书,然后才能在 NetScaler 设备上配置 SSL 设置。您可以使用以下任意方法来接收 SSL 证书: https://docs.citrix.com/zh-cn/citrix-adc/current-release/ssl/faq-ssl1.html
8.获取SSL证书ssl证书内容和密钥在哪找文章浏览阅读3.3k次,点赞2次,收藏6次。两种方式可以获取到SSL证书_ssl证书内容和密钥在哪找https://blog.csdn.net/weixin_42467874/article/details/127529021
9.在服务器上启用HTTPS的详细教程nginx完成之后会给你一个私人密钥,在他们的服务器上生成的私人密钥,但这不是你创建SSL 证书的密钥.他们用这个私人密钥生成一个单独的"认证证书",以后你可以用它来登录StartSSL的控制面板,下面你将要为你的网站创建一个整数了。 最后他们会叫你安装证书 在你的浏览器上安装验证证书 https://www.jb51.net/article/68679.htm
10.示例:SSL证书生成密钥和CSR期望使用 Linux 版Tableau Server?请参阅示例:SSL 证书 - 生成密钥和 CSR(链接在新窗口中打开)。 Tableau Server 使用 Apache,其中包括了OpenSSL(链接在新窗口中打开)。您可以使用 OpenSSL 工具包来生成密钥文件和随后可用于获取签名 SSL 证书的证书签名请求 (CSR)。 http://help.tableau.com/current/server/zh-cn/ssl_cert_create.htm
11.SSL证书内容和密钥在哪个文件?2.私钥:用于解密数据。私钥是服务器的私有密钥,只有服务器拥有。它用于解密使用公钥加密的数据。 SSL证书的密钥对是通过密钥生成算法生成的。公钥和私钥是一对密钥,它们互为对称密钥。私钥需要保持安全,因为掌握私钥的人可以解密传输到服务器的数据。 现在,让我们讨论一下SSL证书内容和密钥在哪个文件以及文件的格式。证https://blog.itpub.net/70027286/viewspace-3056988/
12.如何获取https的证书和密钥免费的ssl证书申请怎么做? SSL证书是一种数字证书,用于加密网络连接以保护敏感信息。它通常用于网站和应用程序,以确保用户的个人信息和支付信息等不受攻击者的攻击。SSL证书是由证书颁发机构(CA)颁发的,一般需要支付费用。但是Tag:如何获取https的证书和密钥您的方式服务器运行https证书失败证书https://www.yimenapp.com/kb-yimen/tag/%E5%A6%82%E4%BD%95%E8%8E%B7%E5%8F%96https%E7%9A%84%E8%AF%81%E4%B9%A6%E5%92%8C%E5%AF%86%E9%92%A5/
13.nginx更换ssl证书1.备份旧证书和密钥 在更改SSL证书之前,必须先备份目前代码中使用的证书和密钥文件。 2.购买新证书 可以选择购买单域或多域证书,根据自己的需求选择。 3.上传新证书文件 将预期使用的SSL证书文件和密钥上传至服务器的指定目录,比如存放在/etc/nginx/ssl目录下(这里作为举例,具体请参考服务器实际路径),同时确认证书https://www.ihuyi.com/pd/ssl/nginxgenghuansslzhengshu.html
14.什么是SSL认证?SSL/TLS认证简介SSL/TLS 证书是一个数字对象,它允许系统验证身份,然后使用安全套接字层/传输层安全性(SSL/TLS)协议建立到另一个系统的加密网络连接。证书在名为公有密钥基础设施 (PKI) 的加密系统中使用。通过 PKI,在双方都信任同一个第三方(称为证书颁发机构)的情况下,一方可以确认使用证书的另一方的身份。SSL/TLS 证书可用http://aws.amazon.com/what-is/ssl-certificate/?nc2=h_mo-lang
15.添加和管理TLS/SSL证书可以添加数字安全证书,以在应用程序代码中使用或在Azure 应用服务中帮助保护自定义 DNS 名称,该证书提供了高度可缩放、自我修补的 Web 托管服务。 目前称为传输层安全性 (TLS) 证书,以前也称为安全套接字层 (SSL) 证书,这些专用或公用证书通过加密浏览器、访问的网站和网站服务器之间发送的数据来帮助保护 Internethttps://docs.microsoft.com/zh-cn/azure/app-service/web-sites-purchase-ssl-web-site
16.Let'sEncrypt靠谱又免费的SSL证书3. 在服务器验证设置好后,在验证页面点击“NEXT”按钮进行验证。 五、 导出生成的SSL证书 导出生成的SSL证书 到了这个页面就生成了正式的SSL证书,请下载红色方块所示的证书和密钥。 注意:这个免费SSL证书有效期为90天,到期后可以免费续期,即重复这个注册过程,再次生成新的免费SSL证书。 https://www.jianshu.com/p/ae407556b13d
17.Windows操作系统上查找SSL证书私钥的方法在Windows 操作系统上,您无权查看或检索文本格式的私钥。当您使用 MMC(Microsoft 管理控制台)或 ISS 导入SSL证书时,会自动获取私钥并安装证书。只有当您在生成CSR代码和密钥的同一台服务器上导入证书时,才会发生这种情况。 但是如果您需要在不同的服务器上安装证书,您将需要私钥。您需要执行以下步骤才能在 Windows操https://www.anxinssl.com/13595.html
18.配置ASA:SSL数字证书安装和续约本文档介绍在 ASA 上为无客户端 SSLVPN 和 AnyConnect 连接安装第三方可信 SSL 数字证书。https://www.cisco.com/c/zh_cn/support/docs/security-vpn/public-key-infrastructure-pki/200339-Configure-ASA-SSL-Digital-Certificate-I.html
19.SSL证书资料入门指南建立连接:用户通过浏览器访问网站,浏览器会向服务器请求SSL证书。 证书验证:服务器向浏览器发送SSL证书,浏览器验证证书的有效性,包括验证证书的签名、有效期等。 密钥交换:一旦证书验证成功,浏览器和服务器之间会进行密钥交换,生成一个用于加密通信的会话密钥。 加密通信:浏览器和服务器之间使用会话密钥进行加密通信,确https://www.imooc.com/article/373507
20.怎么查看ssl证书?ssl证书有什么显著优势?ssl证书有什么显著优势? 一般说来,在网上进行电子商务交易时,交易双方需要使用数字签名来表明自己的身份,并使用数字签名来进行有关的交易操作。随着电子商务的盛行,数字签章的颁发机构CA中心将为电子商务的发展提供可靠的安全保障。 一个有效、可信的SSL数字证书包括一个公共密钥和一个私用密钥。https://www.xinnet.com/knowledge/2142342856.html
21.获取并安装SSL证书和密钥。要配置 SSL 支持,必须先完成下列步骤: 获取SSL 证书和密钥文件。可以通过三种方法完成此任务: 向公共认证中心(例如 VeriSign、Thawte 或 Entrust)购买。公共认证中心 (CA) 签发证书,以便对使用该证书的服务器进行验证。 通过第三方认证中心生成密钥和证书文件。如果采用这种方法,那么必须将第三方 CA 的根证书导入到https://www.ibm.com/docs/zh/spss-modeler/18.1.1?topic=ssl-obtaining-installing-certificate-keys
22.在docker内部版本中找不到ssl证书或密钥文件在Docker内部版本中找不到SSL证书或密钥文件可能是由于以下几个原因导致的: 证书或密钥文件路径错误:首先,确保你在Docker容器中指定的路径是正确的。通常情况下,SSL证书和密钥文件应该位于容器内的特定路径,例如/etc/ssl/certs/或/etc/nginx/ssl/。你可以通过在Dockerfile或docker-compose.yml文件中正确设置COPhttps://cloud.tencent.com/developer/information/%E5%9C%A8docker%E5%86%85%E9%83%A8%E7%89%88%E6%9C%AC%E4%B8%AD%E6%89%BE%E4%B8%8D%E5%88%B0ssl%E8%AF%81%E4%B9%A6%E6%88%96%E5%AF%86%E9%92%A5%E6%96%87%E4%BB%B6-ask