最近我需要购买一个通配符 SSL 证书(因为我需要保护多个子域),当我第一次搜索在哪里购买时,我对选择的数量、营销声明和价格范围感到不知所措。我创建了一个列表,以帮助我了解大多数证书颁发机构 (CA) 和经销商在其网站上布满的营销噱头。最后,我个人的结论是,几乎唯一重要的是 CA 网站的价格和舒适度。
问题:除了价格和一个不错的网站,在决定在哪里购买通配符 SSL 证书时,还有什么值得我考虑的吗?
在 Thunderbird(我也假设在许多其他客户端中)中,我可以选择在“SSL/TLS”和“STARTTLS”之间进行选择。
据我了解,“STARTTLS”简单来说就是“如果两端都支持 TLS 则加密,否则不加密传输”。而“SSL/TLS”简单来说就是“始终加密或根本不连接”。这样对吗?
或者换句话说:
STARTTLS 是否不如 SSL/TLS 安全,因为它可以在不通知我的情况下回退到纯文本?
是否有必要在托管我的 Web 应用程序和 SSL 证书的同一台机器上生成 CSR(证书签名请求)?
SSL Shopper 上的这个页面是这样说的,但我不确定这是否属实,因为这意味着我必须为集群中的每个服务器购买单独的 SSL 证书。
什么是企业社会责任?CSR 或证书签名请求是在将使用证书的服务器上生成的加密文本块。
我的文件夹中有我的cert.pem和cert.key文件/etc/apache2/ssl。
什么是最安全的权限和所有权:
/etc/apache2/ssl 目录
/etc/apache2/ssl/cert.pem 文件
/etc/apache2/ssl/cert.key 文件
(确保https://访问当然有效:)。
谢谢,
J.P
所以 Windows Server 2012 的发布删除了很多旧的远程桌面相关的配置实用程序。特别是,没有更多的远程桌面会话主机配置实用程序可以让您访问 RDP-Tcp 属性对话框,让您配置自定义证书以供 RDSH 使用。取而代之的是一个不错的新统一 GUI,它是新服务器管理器中整体“编辑部署属性”工作流的一部分。问题是,如果您安装了远程桌面服务角色(据我所知),您只能访问该工作流。
这对微软来说似乎有点疏忽。当 Windows Server 2012 在默认远程管理模式下运行时,我们如何为 RDP 配置自定义 SSL 证书,而无需不必要地安装远程桌面服务角色?
ssl rdp remote-desktop-services windows-server-2012 windows-server-2016
当我们可以使用 openSSL 在本地生成 SSL 证书时,我无法理解为什么需要购买 SSL 证书。我购买的证书和我在本地生成的测试证书有什么区别?这只是一个大骗局吗?
最近,Diffie-Hellman 中的一个新漏洞(非正式地称为“logjam”)已经发布,为此页面已汇总,建议如何应对该漏洞:
我们为正确部署 Diffie-Hellman for TLS 提供了三个建议:
- 禁用导出密码套件。尽管现代浏览器不再支持导出套件,FREAK 和 Logjam 攻击允许中间人攻击者诱骗浏览器使用导出级加密,然后可以解密 TLS 连接。出口密码是 1990 年代政策的残余,该政策阻止了强大的加密协议从美国出口。没有现代客户依赖导出套件,禁用它们几乎没有缺点。
- 部署(临时)椭圆曲线 Diffie-Hellman (ECDHE)。椭圆曲线 Diffie-Hellman (ECDH) 密钥交换避免了所有已知的可行密码分析攻击,并且现代 Web 浏览器现在更喜欢 ECDHE,而不是原始的有限域 Diffie-Hellman。我们用来攻击标准 Diffie-Hellman 组的离散对数算法没有从预计算中获得如此强大的优势,并且单个服务器不需要生成唯一的椭圆曲线。
- 生成一个强大的、独特的 Diffie Hellman 组。数百万台服务器使用几个固定组,这使它们成为预计算和潜在窃听的最佳目标。管理员应该为每个网站或服务器使用“安全”素数生成唯一的、2048 位或更强大的 Diffie-Hellman 组。
根据上述建议,我应该采取哪些最佳实践步骤来保护我的服务器?
如何在运行 IIS 的 Windows Server 2012 系统上修补CVE-2014-3566?
Windows Update 中是否有补丁,或者我是否必须更改注册表才能禁用 SSL 3.0?
我们的信用卡处理商最近通知我们,自 2016 年 6 月 30 日起,我们将需要禁用 TLS 1.0 以保持 PCI 合规性。我试图通过在我们的 Windows Server 2008 R2 机器上禁用 TLS 1.0 来主动,只是在重新启动后立即发现我完全无法通过远程桌面协议 (RDP) 连接到它。经过一些研究,RDP 似乎只支持 TLS 1.0(请参阅此处或此处),或者至少不清楚如何通过 TLS 1.1 或 TLS 1.2 启用 RDP。有人知道在不破坏 RDP 的情况下在 Windows Server 2008 R2 上禁用 TLS 1.0 的方法吗?Microsoft 是否计划支持基于 TLS 1.1 或 TLS 1.2 的 RDP?
注意:似乎有一种方法可以通过将服务器配置为使用 RDP 安全层来实现,但这会禁用网络级身份验证,这似乎是一种恶作剧。
更新 1:微软现在已经解决了这个问题。有关相关服务器更新,请参阅下面的答案。
更新 2:Microsoft 发布了有关SQL Server 支持 PCI DSS 3.1 …
有谁知道为什么我不能通过更新配置来禁用 tls 1.0 和 tls1.1。
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
这样做之后,我重新加载了 apache 我使用 ssllabs 或 comodo ssl 工具进行了 ssl 扫描,它仍然说支持 tls 1.1 和 1.0。我想删除这些?
ssl ×10
apache-2.2 ×2
apache-2.4 ×2
pci-dss ×2
rdp ×2
security ×2
csr ×1
encryption ×1
httpd ×1
https ×1
iis ×1
permissions ×1
starttls ×1
tls ×1
windows ×1