每个月,网络上都会有一些文章介绍某些应用程序或平台在 SSL 实施中使用过时的加密配置。这让我担心......我自己的实现怎么样?
当我在应用程序中使用 OpenSSL 来提供和/或使用 HTTPS 时,我到底应该做什么才能以最安全的方式配置 OpenSSL? (例如与 cURL 结合)
除了配置之外,还必须采取哪些其他步骤来确保安全使用 OpenSSL?我应该采取什么特殊步骤吗?与公钥基础设施有关?
网络上是否有一些“已知良好”的配置可用?
确保您的证书提供商使用 SHA1 或更好的(首选 SHA2)哈希对您的证书进行签名。
仅当您验证证书时,HTTPS (SSL/TLS) 才有效。这通常由客户执行。如果客户端不通过验证证书来验证服务器的身份,您就会受到中间人攻击。
您可以配置服务器,使其不允许旧的 (SSL) 协议,而是需要最新的 TLS 协议,该协议在加密上更强大(例如伪随机函数中的 SHA1 和 MD5,而不是 TLS 1.0 中的 MD5,以及TLS 1.2 使用 SHA2)。
创建证书密钥对时,请选择更长的密钥(例如,2048 位优于 1024 位)。
Mozilla wiki 上有一些很好的建议:安全/服务器端 TLS https://wiki.mozilla.org/Security/Server_Side_TLS
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
