www百科

  1. 首页 > 生活知识 >

通配符ssl证书使用方法 通配符ssl证书怎么使用

生活百科

SSL/TLS是一种看似简单的技术 。它易于部署,正常部署后就可以运行了 。但想要部署地安全可靠却并非易事 。这就使得系统管理员和开发者不得不花费额外时间和精力了解SSL/TLS相关技术,以便能配置一个高安全的服务器或应用 。
为了让系统管理员轻松部署安全站点或应用,本篇将讲解SSL/TLS部署最佳实践 。

通配符ssl证书使用方法 通配符ssl证书怎么使用


通配符ssl证书使用方法 通配符ssl证书怎么使用


2.4选择最佳密码套件在 SSL 3.0 及更高版本的协议中,客户端需提交他们支持的密码套件列表,服务器从列表中选择一个用于连接的套件 。然而,并非所有服务器都能做出最佳选择 。有些服务器会从客户端列表中选择第一个支持的套件 。因此,让服务器主动选择最佳可用密码套件才能使SSL部署安全达到最佳化 。
2.5使用前向保密前向保密(也称完美前向保密,简称PFS),它是一种协议功能,可不依赖于服务器私钥实现安全对话 。如果不使用前向保密的密码套件,他人就能恢复服务器私钥,进而解密所有先前记录下来加密对话 。使用ECDHE套件就能在Web浏览器中启用前向保密 。为了支持更广泛的客户端,您还应该使用 DHE套件作为ECDHE后备 。除非绝对必要,请避免RSA密钥交换 。
2.6使用强密钥交换对于密钥交换,公共站点通常可以选择常用的Diffie-Hellman密钥交换(DHE)或椭圆曲线变体ECDHE 。RSA密钥交换应用非常广泛,但它不提供前向保密 。当然还有其他密钥交换算法,但它们通常不安全 。
【通配符ssl证书使用方法 通配符ssl证书怎么使用】2015年,一组研究人员发表了针对DHE的新攻击,他们的工作被称为Logjam攻击 。研究人员发现,较低强度的DH密钥交换(例如768位)很容易被破解 。为了安全起见,如果部署 DHE,请至少配置2048位 。一些老版本的客户端(例如Java 6)可能不支持这种强度级别 。ECDHE相比之下性能更高、更快速 。secp256r1命名曲线(也称为P-256)是一个不错的选择 。
小结近年来发生了几次针对SSL和TLS的严重攻击,但如果您运行的是最新软件并遵循本指南中的SSL部署最佳实践建议,那就不必太过担心这些问题 。但是,没有什么是绝对安全的,最好的做法是密切关注网络安全,及时解决安全漏洞问题 。
关于更多SSL部署相关问题,请上
https://yafengwang.oss-cn-guangzhou.aliyuncs.com/uploads/article/2021/10/06/2571

    推荐阅读


    上一篇:考研英语一新题型有哪几种

    下一篇:一般人事部几点通知面试结果的