作为序言,我搜索了很多,但似乎无法找到正确的搜索词。
我使用以下命令生成了一个 CSR:
openssl req -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/ssl.key -out /etc/ssl/ssl.csr
使用生成的 CSR,我通过 StartSSL 获得了 2 类签名证书。
问题是当我在我的网站上查看 Chrome 中的证书信息时,它说网站安全性已过时。
也许我需要更改 Apache2 mod_ssl 设置?
或者,如果是证书问题,我需要使用哪些 OpenSSL 选项来生成最新的 CSR 请求?
提前致谢。
首先,将“-sha256”添加到您的 CSR 命令,以确保您使用的是 SHA256 而不是安全性较低的 SHA1 或 MD5 哈希摘要作为您的证书。
其次,检查以确保服务器本身配置为仅使用 TLS 或更高版本。将您的 SSL 配置行(在/etc/httpd/conf.d/ssl.conf、您的站点文件或您的发行版存储它们的其他任何地方)更改为最低限度的限制:
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:!EXPORT:RC4+RSA:+HIGH:-MEDIUM:-LOW
有关详细信息,请参阅附录 A 中CA/浏览器论坛上指定最低可接受算法和关键强度的文档。该链接可能会随着新标准的采用而过时,因此请密切关注其基线要求文档页面更新。
| 归档时间: |
|
| 查看次数: |
4058 次 |
| 最近记录: |