1

Я установил аддон calomel в Firefox, который дает информацию о качестве SSL-сертификата. Я создал самозаверяющий сертификат, который набирает полный балл по PFS и Bulk Cipher, но не по остальным. Как я могу создать лучший сертификат на Debian?

Проверка Calomel для сертификата Google Проверка Calomel для самоподписанного сертификата

1 ответ1

2

Вы путаете вещи. Здесь есть две отдельные проблемы:

  • Ваш сертификат был изготовлен с использованием 1024-битного ключа. Это легко исправить: openssl genrsa -des3 -out privkey.pem 2048 создает 2048-битный ключ, остальная часть процедуры остается той же.
  • Конфигурация шифрования вашего веб-сервера не соответствует стандартам: вам необходимо переместить шифры с обменом ключами DH с эллиптической кривой в начало списка предпочитаемых шифров. Вы должны вставлять шифры только для обратной совместимости.

Моя конфигурация Apache в настоящее время выглядит следующим образом:

SSLProtocol +TLSv1.2 +TLSv1.1 +TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA"

Это дает полную оценку по Qualys SSL Server Test.

Обратите внимание, что Apache 2.2 не поддерживает криптографию с эллиптическими кривыми.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .