我们正在谈论Mozilla开发的SSL配置工具。
削减-关于其功能和其他实用程序来设置站点。
照片-黎文农-不飞溅为什么需要发电机
在继续介绍有关该工具功能的故事之前,让我们先谈一下它的用途。 使用HTTPS时,
在以下四种情况下使用加密:在密钥交换期间,在
SSL证书中 ,在发送消息和编译哈希和(
摘要 )时。
它们每个都使用不同的算法集,客户端和服务器会同意这些算法。 他们为“握手”选择非对称密码,为消息编码选择对称密码,为摘要选择哈希算法。
例如,ECDHE-ECDSA-CHACHA20-POLY1305密码套件意味着密钥交换是根据椭圆曲线上的Diffie-Hellman协议(
ECDHE )进行的。 在这种情况下,
临时密钥 (一次性)仅用于建立一个连接。 证书颁发机构使用椭圆曲线数字签名算法(
ECDSA )对证书进行签名,并且使用
嵌入式ChaCha20算法对消息进行加密。
计算一个 16字节验证码的POLY1305负责其完整性。
在
Mozilla Wiki页面上可以找到所有可用算法组合的完整列表。
网络上有特殊的工具可以配置服务器使用的加密方法。 此功能具有Mozilla开发的
SSL Configuration Generator 。
他是什么样的人
Mozilla为使用TLS的服务器提供了三种建议的配置:
- 现代 -适用于使用TLS 1.3的客户端,而没有向后兼容性。
- 中级 -大多数服务器的推荐配置。
- 不推荐使用 -使用旧客户端或库(例如IE8,Java 6或OpenSSL 0.9.8)进行对服务的访问。
例如,在第一种情况下,生成器使用
AES128 / 256加密算法,
SHA256 / 384哈希
算法和
GCM对称块密码操作模式。 这是密码套件的示例:TLS_AES_256_GCM_SHA384。
在第二种情况下,使用的密码数量要大得多,因为许多密码已从TLS 1.3中
排除以提高安全性。 另外,TLS 1.3密码套件
未描述证书
的类型和密钥交换机制。 因此,在中间配置中,存在具有临时密钥和
RSA的Diffie-Hellman协议。
基于这些要求,SSL配置生成器将生成一个配置文件(OpenSSL)。 构建时,您可以选择必需的服务器软件:Apache,HAProxy,MySQL,nginx,PostgreSQL和其他五个。 这是Apache的现代配置示例:
生成的配置可以在您的项目中使用,您只需要编辑证书和私钥路径并加载设置。 但是,正如一名Hacker News居民
所说的那样 ,重要的是要注意服务器版本以获得正确的结果。 特别是,nginx 1.0和nginx 1.4的输出明显不同。 还有
一种观点认为 ,在某些情况下,有必要手动校正部分生成的密码套件,以保持向后兼容性并在爬网站点的基准测试中获得较高的分数。
还有哪些其他实用程序将有助于站点保护?
Mozilla产品组合中有多个实用程序,可帮助您在配置SSL之后验证资源的可靠性。
首先是
Mozilla天文台 。 最初,该公司开发了一种工具来检查其自己域的安全性。 现在它
与源代码一起提供给所有人。 天文台扫描站点中最流行的漏洞,其中包括:
潜在危险的cookie ,
XSS漏洞和
重定向 。 扫描后,系统会提供一组建议,以提高Internet资源的安全性。
照片-sebastiaan stam-不飞溅另一个有用的工具是
Firefox Monitor 。 如果来自任何站点的信息落入黑客之手,它会监视最新的数据泄漏并发送通知。 因此,管理员有机会迅速采取行动,最大程度地减少损失,并确保故事不会在未来再次发生。
我们的博客和社交网络出版物:
如何保护Internet上的虚拟服务器
为什么需要监视?
获得OV和EV证书-您需要了解什么?
从7月1日开始以移动设备优先编制索引-如何检查您的网站?
1cloud私有云常见问题解答
如何评估Linux上的存储性能:使用开放工具进行基准测试
有人说用于浏览器的DANE技术失败了