SSL證書的安全性和兼容性配置指南是怎樣的

本篇文章給大家分享的是有關(guān)SSL證書的安全性和兼容性配置指南是怎樣的，小編覺得挺實用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

一、SSL協(xié)議選擇

1，只使用安全協(xié)議版本TLSv1.1和TLSv1.2.

以apache為例，查招apache配置文件，找到SSLProtocol字段，去掉SSLProtocol All -SSLv2 -SSLv3 -TLSv1之前的注釋（或者自己寫也可以）。

2，如果你需要讓網(wǎng)站支持一些老舊的瀏覽器或操作系統(tǒng)，那么請輸入SSLProtocol All -SSLv2 -SSLv3即可。

二、禁止使用RC4密碼套件的必要性

2015年3月26日，國外數(shù)據(jù)安全公司Imperva的研究員Itsik Mantin在BLACK HAT ASIA 2015發(fā)表論文《Attacking SSL when using RC4》闡述了利用存在了13年之久的RC4漏洞——不變性弱密鑰（《Weakness in the Key Scheduling Algorithm of RC4》,FMS 發(fā)表于2001年）進行的攻擊，并命名為“受戒禮”攻擊（Bar Mitzvah Attack）。根據(jù)《Attacking SSL when using RC4》中的闡述，漏洞的成因主要在于不變性弱密鑰是RC4密鑰中的一個L型的圖形，它一旦存在于RC4的密鑰中，在整個初始化的過程之中保持狀態(tài)轉(zhuǎn)換的完整性。這個完整的部分包括置換過程中的最低有效位，在由RPGA算法處理的時候，決定偽隨機輸出流的最低有效位。這些偏差的流字節(jié)和明文進行過異或，導(dǎo)致密文中會泄露重要明文信息。

某寶平衡兼容性和安全性以后做出了保留RC4密碼套件的方法：

如果您的服務(wù)器需要支持IE6這種古董級別的瀏覽器，那么可以支持SSLv3版本協(xié)議，如果說對兼容性沒有太大的需求，只要主流的瀏覽器能夠訪問那么就不要支持3DES系列的加密套件，如果說想要在保證安全性的同時，也要有最好的兼容性，那么就可以采取TLS1.x協(xié)議+FS加密套件配置方式進行配置。

以百度網(wǎng)站的兼容性為主舉例：

以下是按照安全性從低到高，兼容性從高到低的三種加密套件配置方法：

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH;

ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

三、PCI DSS合規(guī)要求

PCI安全標(biāo)準委員會規(guī)定2018年6月30日之后，開啟TLS1.0將導(dǎo)致PCI DSS不合規(guī)。PCI DSS，全稱Payment Card Industry Data Security Standard,第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準，是由PCI安全標(biāo)準委員會制定，力在使國際上采用一致的數(shù)據(jù)安全措施。

早在去年6月30號PCI安全標(biāo)準委員會官方發(fā)表博文將于2018年6月30號（最晚），也就是本月月底禁用早期SSL/TLS，并實施更安全的加密協(xié)議(TLS v1.1或更高版本,強烈建議使用TLS v1.2)以滿足PCI數(shù)據(jù)安全標(biāo)準的要求，從而保護支付數(shù)據(jù)。

所以對于支付網(wǎng)站，提高安全性，符合PCI DSS合規(guī)要求還是比較重要的。

解決方案：評估兼容性后，禁用TLS1.0。

以apache配置為例，SSL協(xié)議可做如下所示設(shè)置:

ssl_protocols        TLSv1.1 TLSv1.2 TLSv1.3;

在未來安全評級也將對TLS1.0做出合適的降級處理，在評估兼容性影響后，還是建議大家關(guān)閉TLS1.0, 現(xiàn)在TLS1.3都出來了，未來主流應(yīng)該是TLS1.2+TLS1.3。

關(guān)于關(guān)閉TLS1.0的兼容性參考：大多數(shù)是比較老舊系統(tǒng)上自帶瀏覽器不支持，如果是主流用戶使用的Chrome、Firefox和國產(chǎn)瀏覽器基本都兼容。

四、優(yōu)先使用FS加密套件設(shè)置方法

如果服務(wù)器沒有指定FS系列加密套件優(yōu)先使用，則會相應(yīng)降級：

解決方法：以apche配置為例，打開apache配置文件httpd.conf，開啟或者加入這行字段SSLHonorCipherOrder on即可。設(shè)置FS系列加密套件以后，服務(wù)器順序優(yōu)先生效：

五、證書鏈缺失導(dǎo)致降級解決方法

問題：最近有人反饋在他們的域名在MySSL檢測報告中出現(xiàn):

很疑惑為什么只是證書鏈不完整就會降級到B。那在這里簡單的說明一下。

瀏覽器的處理：現(xiàn)代的瀏覽器都有證書自動下載的功能，但很多瀏覽器在安裝后是使用系統(tǒng)內(nèi)置的證書庫，如果你缺失的那張CA證書，在系統(tǒng)的內(nèi)置證書庫中不存在的話，用戶第一次訪問網(wǎng)站時會顯示如下情況：（以Chrome為例）

即使你的證書確實是可信的，但依舊會顯示成不可信，只有等到瀏覽器自動把缺失的那張CA證書從網(wǎng)上下載下來安裝調(diào)用之后，訪問該網(wǎng)站才會顯示成可信狀態(tài)。

而以上所有問題，安信證書都會結(jié)合網(wǎng)站性質(zhì)，做出最佳選擇，充分平衡網(wǎng)站的安全性和兼容性，帶給您“既超薄又安全”的新體驗。

以安信證書官網(wǎng)安裝證書為例，我們在評估兼容性和安全性后，采用了TLSv1.0+TLSv1.1+TLSv1.2的SSL協(xié)議，安全加密套件使用了不帶RC4的加密套件，并且設(shè)置了優(yōu)先使用FS系列加密套件。通過myssl官網(wǎng)檢測，除了XP系統(tǒng)下IE6瀏覽器不支持外，其余都是支持的，并且安全性也得到了極大的提升，安全評估為A級。

以上就是SSL證書的安全性和兼容性配置指南是怎樣的，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降摹ＯＭ隳芡ㄟ^這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。