SSL

手动续订 SSL 证书的简单指南

手动续订 SSL 证书的简单指南

虽然 SSL 证书提供了防止数据盗窃或滥用的安全性,但你需要定期更新它以确保最有效的安全性以抵御最新的威胁。
如何保护 Ubuntu 16.04 上的 NGINX Web 服务器

如何保护 Ubuntu 16.04 上的 NGINX Web 服务器

Let’s Encrypt 是互联网安全研究组织 (ISRG) 提供的免费证书认证机构。它提供了一种轻松自动的方式来获取免费的 SSL/TLS 证书 - 这是在 Web 服务器上启用加密和 HTTPS 流量的必要步骤。获取和安装证书的大多数步骤可以通过使用名为 Certbot 的工具进行自动化。
捐赠 Let's Encrypt,共建安全的互联网

捐赠 Let's Encrypt,共建安全的互联网

随着 Mozilla、苹果和谷歌对沃通和 StartCom 这两家 CA 公司处罚落定,很多使用这两家 CA 所签发证书的网站纷纷寻求新的证书签发商。有一个非盈利组织可以为大家提供了免费、可靠和安全的 SSL 证书服务,这就是 Let’s Encrypt 项目。现在,它需要您的帮助
在主要浏览器禁用后,SHA-1 使用量得到了下降

在主要浏览器禁用后,SHA-1 使用量得到了下降

在 Mozilla 宣布计划阶段性废弃 SHA-1 算法签名的证书一年后,SHA-1 的使用量得到了显著下降。据 Firefox 的数据看,使用量从去年的 50% 降至今年三月的 3.5%,而到这个月仅占到加密流量的 0.8%。
如何更新 ISPConfig 3 SSL 证书

如何更新 ISPConfig 3 SSL 证书

本教程描述了如何在 ISPConfig3控制面板中更新 SSL 证书。有两个可选的方法: 用 OpenSSL 创建一个新的 OpenSSL 证书和 CSR。 用 ISPConfig updater 更新 SSL 证书 我将从用手工的方法更新 SSL 证书开始。 1)用 OpenSSL 创建一个新的 ISPConfig 3 SSL 证书 用 root 用户登录你的服务器。在创建一个新的 SSL 证书之前,先备份现有的。SSL 证书是安全敏感的,因此我将它存储在 /root/ 目录下。 tar pcfz /root/ispconfig_ssl_backup.tar.gz /usr/local/ispconfig/interface/ssl chmod 600 /root/ispconfig_ssl_backup.tar.gz 现在创建
SSL/TLS 加密新纪元 - Let's Encrypt

SSL/TLS 加密新纪元 - Let's Encrypt

根据 Let’s Encrypt 官方博客消息,Let’s Encrypt 服务将在下周(11 月 16 日)正式对外开放。 Let’s Encrypt 项目是由互联网安全研究小组(ISRG,Internet Security Research Group)主导并开发的一个新型数字证书认证机构(CA,Certificate Authority)。该项目旨在开发一个自由且开放的自动化 CA 套件,并向公众提供相关的证书免费签发服务以降低安全通讯的财务、技术和教育成本。在过去的一年中,互联网安全研究小组拟定了 ACME 协议草案,并首次实现了使用该协议的应用套件:服务端 Boulder 和客户端 letsencrypt。 至于为什么 Let’s
使用 openssl 命令行构建 CA 及证书

使用 openssl 命令行构建 CA 及证书

这是一篇快速指南,使用 OpenSSL 来生成 CA (证书授权中心 (certificate authority))、 中级 CA(intermediate CA)和末端证书(end certificate)。包括 OCSP、CRL 和 CA 颁发者(Issuer)信息、具体颁发和失效日期。 我们将设置我们自己的根 CA(root CA),然后使用根 CA 生成一个示例的中级 CA,并使用中级 CA 签发最终用户证书。 根 CA 为根 CA 创建一个目录,并进入: mkdir -p ~/SSLCA/root/ cd ~/SSLCA/root/ 生成根 CA 的 8192 位长的 RSA 密钥: openssl genrsa -out rootca.key 8192 输出类似如下: Generating RSA pri
为什么 Chrome 会说你的 SHA-2 证书链是“肯定不安全的”

为什么 Chrome 会说你的 SHA-2 证书链是“肯定不安全的”

假如你已经完全配好了你的 SSL:使用了强加密算法、禁用了废弃的协议,而且你提供了100% SHA-2的证书链。SSL Labs给了你一个 A+ 评分,shaaaaaaaaaaaaa.com也没发现你使用了 SHA-1。但是,有些情况下,当你访问你的网站时,Chrome 仍旧会在 URL 栏处显示一个红叉,并且说你的网站提供了 SHA-1 证书,是肯定不安全的(affirmatively insecure) 的: 这可能吗?不幸的是,有可能。你的服务器所发送的证书也许并不是你的浏览器所使用的。在迁移到 SHA-2 的过程中不应该是这样的,但是由于某些 CA 糟糕的做法和用户使用了老旧的软件,有时候
谷歌公布放弃 RC4 和 SSLv3 的详细计划

谷歌公布放弃 RC4 和 SSLv3 的详细计划

不出所料,这周谷歌正式宣布准备放弃支持流算法 RC4 和 SSLv3 协议,这二者都有悠久的被攻击历史。 该公司的一名安全工程师亚当.兰利周四在一篇博客中宣布了该计划。虽然没有一个具体的时间表,但是兰利坚称,谷歌会在适当的时段内在其所有的前端服务器、Chrome、Android、爬虫和 SMTP 服务器中放弃使用 RC4 和 SSLv3。 事实上,该公司宣布放弃RC4 和 SSLv3并不令人惊讶,国际互联网工程任务组(IETF)在今年夏天发布的一个互联网标准跟踪文档(Internet Standards Track document)中宣称了 SSLv3 的死亡,说它不够安全,而且说任何版本
增强 nginx 的 SSL 安全性

增强 nginx 的 SSL 安全性

本文向你介绍如何在 nginx 服务器上设置健壮的 SSL 安全机制。我们通过禁用 SSL 压缩来降低 CRIME 攻击威胁;禁用协议上存在安全缺陷的 SSLv3 及更低版本,并设置更健壮的加密套件(cipher suite)来尽可能启用前向安全性(Forward Secrecy);此外,我们还启用了 HSTS 和 HPKP。这样我们就拥有了一个健壮而可经受考验的 SSL 配置,并可以在 Qually Labs 的 SSL 测试中得到 A 级评分。 如果不求甚解的话,可以从 https://cipherli.st 上找到 nginx 、Apache 和 Lighttpd 的安全设置,复制粘帖即可。 本教程在 Digital Ocean 的 VPS 上测试
如何在Ubuntu 14.04 上为Apache 2.4 安装SSL支持

如何在Ubuntu 14.04 上为Apache 2.4 安装SSL支持

今天我会讲述如何为你的个人网站或者博客安装SSL 证书,来保护你的访问者和网站之间通信的安全。 安全套接字层或称SSL,是一种加密网站和浏览器之间连接的标准安全技术。这确保服务器和浏览器之间传输的数据保持隐私和安全。它被成千上万的人使用来保护他们与客户的通信。要启用SSL链接,Web服务器需要安装SSL证书。 你可以创建你自己的SSL证书,但是这默认不会被浏览器所信任,要解决这个问题,你需要从受信任的证书机构(CA)处购买证书,我们会向你展示如何获取证书并在apache中安装。 生成一个证书签名请求 证书机构(CA)会要求你在
在Ubuntu 13.10 下安装支持SSL的Apache

在Ubuntu 13.10 下安装支持SSL的Apache

通过这个简短的教程,让我来指导你如何安装支持SSL的Apache。以下是我的试验机的详细说明: 系统信息 root@ubuntu-unixmen:~# ifconfig eth0 Link encap:Ethernet HWaddr 08:00:27:b8:b4:87 inet addr:10.1.1.110 Bca …