Nginx

ssl_protocols TLSv1 TLSv1.1 TLSv1.2

阿帕奇

SSLProtocol All -SSLv2 -SSLv3

密码套房

选择密码套件可能很困难,它们的名称可能看起来很复杂,但可以很容易地分解成它们的组件。采取以下套房:

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

组件是:

	TLS - the protocol used

        ECDHE - the key exchange mechanism

        ECDSA - the algorithm of the authentication key

        AES - the symmetric encryption algorithm

        128 - the key size of the above

        GCM - the mode of the above

        SHA256 - the MAC used by the algorithm

密钥交换机制

您应该只支持使用ECDHE和DHE(也称为EECDH和EDH)进行密钥交换的套件。EC变体更快,并且都提供完美前向保密(PFS),这是必不可少的。用ECDHE支持ECDHE和DHE的一个例子是首选。

	 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

        TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

        TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

        TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

注意: TLSv1.3仅支持PFS密钥交换。

认证

绝大多数网络将使用RSA作为身份验证密钥,因为它得到了广泛的支持,但ECDSA的速度要快得多(来源)。您可以同时为两个世界提供RSA和ECDSA证书(教程)。通过在身份验证段中检查RSA和/或ECDSA,仅支持适合您情况的套件。

有RSA证书:

	 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

        TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

使用ECDSA证书:

	    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

        TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

使用混合RSA和ECDSA证书:

	    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

        TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

        TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

        TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

在上面的示例中,AES_128_GCM形成密码。AES是首选算法,使用128位密钥大小是可以接受的。出于性能原因,您可以选择128位密钥而不是256位密钥。GCM段是密码的模式,表示这是AEAD(带有关联数据的经过身份验证的加密)。GCM套件应优先于非GCM套件。同一套件的GCM和非GCM版本的示例。

	     TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

        TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

        TLS_ECDHE_RSA_WITH_AES_128_SHA256

        TLS_ECDHE_RSA_WITH_AES_256_SHA384

注意: TLSv1.3仅支持AEAD套件。

Nginx

ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"

阿帕奇

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

首选服务器订单

当我们按照首选顺序指定密码列表时,我们需要告诉服务器强制执行该订单,否则不会。

Nginx的

ssl_prefer_server_ciphers on;

阿帕奇

SSLHonorCipherOrder On

HTTP严格传输安全性

HSTS是一个HTTP响应标头,允许您将访问者的浏览器配置为仅通过HTTPS与您通信,无论发生什么。如果没有配置HSTS,则不会完成HTTPS的部署。您可以在HSTS中阅读更多内容- 传输层安全性中缺少的链接,我有很多文章涉及HSTS。

Nginx的

add_header Strict-Transport-Security "max-age=600; includeSubDomains";

阿帕奇

Header always set Strict-Transport-Security "max-age=600; includeSubDomains"

随着您对策略越来越有信心,您可以增加max-age的大小并考虑HSTS预加载。

原文地址:转载沃通ssl证书

最新文章

  1. 探索c#之递归APS和CPS
  2. Hibernate操作指南-搭建一个简单的示例(基于Java Persistence API JPA)
  3. 第十五篇:在SOUI中消息通讯
  4. 细谈HTML5
  5. Transaction Log Truncation
  6. [CSAPP笔记][第二章信息的表示和处理]
  7. 临时笔记:flume+ CDH 的 twitter实例
  8. DFS PKU 1562
  9. 2.3 PCI桥与PCI设备的配置空间
  10. Java 基本文件操作
  11. jQuery新版本没有了Toggle事件,两个按钮分别控制隐藏显示,同时这两个按钮点击也要互斥。
  12. [题目] Luogu P5038 [SCOI2012]奇怪的游戏
  13. mergesort_arithmetic_python
  14. AS3 内存基础
  15. 解决appcompat中各种奇葩的错误
  16. nagios加入被监控的机器
  17. 【leetcode 简单】 第九十一题 找不同
  18. SpringBoot Session 管理及集群管理
  19. linux 多线程之间信号传递
  20. 修改UIView的backedlayer为CAShapeLayer

热门文章

  1. Noip2011 Mayan游戏 搜索 + 模拟 + 剪枝
  2. Project Euler 30 Digit fifth powers
  3. freeswich 安装mod_av
  4. Windows使用docker打开新窗口error解决办法
  5. SGU 185 Two shortest
  6. crm使用soap批量删除数据
  7. POJ 1284
  8. 基于servlet实现一个web框架
  9. Android 零基础学习之路
  10. Ubuntu下的用户和权限(三)