Каковы наилучшие варианты для генерации безопасного сертификата SSL/csr?
Для снабжения предисловием я искал много, но, может казаться, не нахожу правильные критерии поиска.
Я генерировал CSR использование следующей команды:
openssl req -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/ssl.key -out /etc/ssl/ssl.csr
Со сгенерированным CSR я добрался, класс 2 подписал сертификат через StartSSL.
Проблема - когда я просматриваю информацию о сертификате в Chrome на моем сайте, это говорит, что безопасность сайта устарела.
Возможно, существуют настройки Apache2 mod_ssl, которые я должен изменить?
Или если это - проблема сертификата, какие опции OpenSSL я должен использовать для генерации актуального запроса CSR?
Заранее спасибо.
Во-первых, добавьте «-sha256» в вашу команду CSR, чтобы убедиться, что вы используете SHA256 вместо менее безопасных хеш-дайджестов SHA1 или MD5 для вашего сертификата.
Во-вторых, проверьте чтобы убедиться, что сам сервер настроен на использование только TLS или выше. Измените строки конфигурации SSL (в /etc/httpd/conf.d/ssl.conf , файлы вашего сайта или где-либо еще в вашем дистрибутиве), чтобы они были как минимум такими ограничительными:
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:!EXPORT:RC4+RSA:+HIGH:-MEDIUM:-LOW
] Для получения дополнительной информации есть документ, определяющий минимально приемлемые алгоритмы и ключевые сильные стороны на CA / Browser Forum , в Приложении A. Эта ссылка, вероятно, устареет по мере принятия новых стандартов, поэтому держите следите за обновлениями на их странице Документы с базовыми требованиями .