我正在考虑使用 ECDHE-ECDSA 并且有很多关于原因的好文章(https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/)和(http://blog .cloudflare.com/ecdsa-the-digital-signature-algorithm-of-a-better-internet),例如。
显然浏览器支持不是很好,但 Chrome 30、Windows 8 上的 Internet Explorer 11、OS X 10.9 上的 Safari 7 和 Firefox 26 都支持 TLS 1.2。
我研究了几个 CA,只有几个 ECDSA 签名证书(Verisign/Symantec 这样做)。我的问题是:如果我获得了为 ECDSA 签名的证书,并且在我的密码链中正确回退,旧浏览器是否能够使用 RSA?
我感觉答案是否定的,因为如果你签署了 RSA 证书,你就不能使用 ECDSA,但我想在排除 ECDHE-ECDSA 之前确定一下。
保罗
我已经阅读了许多关于这个主题的文章和答案,并且我一直在与 Linode 支持人员进行讨论,但似乎没有人能够回答我的确切问题。
看起来很简单 - 我想使用 iptables 防火墙来限制对除 22、80 和 443 之外的所有端口的访问。Linode 在这里写得很好:https : //library.linode.com/securing-your-server#sph_creating -a-firewall并且我按原样使用了他们的防火墙规则。防火墙运行良好。
我还想预先路由一些端口,因为这是一个 nodejs 应用程序。所以我使用了:
sudo iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
sudo iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3000
如果我没有防火墙规则,这些规则会起作用。事实上,我现在正在使用它们,但我不得不关闭防火墙。
如果我添加防火墙规则,则PREROUTING停止工作。如果我将活动的 iptables 规则保存到文件中进行查看,则防火墙(过滤规则)和PREROUTING(nat 规则)都存在,但只有防火墙规则有效。看这里:
# Generated by iptables-save v1.4.18 on Wed Mar 26 02:40:04 2014
*security
:INPUT ACCEPT [1606:135329]
:FORWARD ACCEPT [0:0] …