Я установил аддон calomel в Firefox, который дает информацию о качестве SSL-сертификата. Я создал самозаверяющий сертификат, который набирает полный балл по PFS и Bulk Cipher, но не по остальным. Как я могу создать лучший сертификат на Debian?
1 ответ
2
Вы путаете вещи. Здесь есть две отдельные проблемы:
- Ваш сертификат был изготовлен с использованием 1024-битного ключа. Это легко исправить:
openssl genrsa -des3 -out privkey.pem 2048создает 2048-битный ключ, остальная часть процедуры остается той же. - Конфигурация шифрования вашего веб-сервера не соответствует стандартам: вам необходимо переместить шифры с обменом ключами DH с эллиптической кривой в начало списка предпочитаемых шифров. Вы должны вставлять шифры только для обратной совместимости.
Моя конфигурация Apache в настоящее время выглядит следующим образом:
SSLProtocol +TLSv1.2 +TLSv1.1 +TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA"
Это дает полную оценку по Qualys SSL Server Test.
Обратите внимание, что Apache 2.2 не поддерживает криптографию с эллиптическими кривыми.