每个月都有网上有关某些应用程序或平台的文章,其SSL实施中使用了过时的加密配置。这让我很担心......我自己的实现怎么样?
当我在应用程序中使用OpenSSL以提供服务和/或使用HTTPS时,我究竟应该以最安全的方式配置OpenSSL? (例如与cURL结合使用)
除了配置之外,还必须采取哪些其他步骤来确保安全地使用OpenSSL?我应该采取任何特殊步骤,例如与公钥基础设施有关?
网上是否有一些“已知良好”的配置?
答案 0 :(得分:2)
确保您的证书提供商使用SHA1或更好(SHA2首选)哈希标记您的证书。
HTTPS(SSL / TLS)仅在您验证证书时有效。这通常由客户执行。如果客户端未通过验证证书来验证服务器的身份,则您将受到中间人攻击。
您可以配置服务器,使其不允许使用较旧的(SSL)协议,而是需要最新的TLS协议,该协议在加密方面更强大(例如,伪随机函数中的SHA1和MD5,而不是TLS中的MD5) 1.0,TLS 1.2使用SHA2)。
创建证书密钥对时,请选择较长的密钥(例如,优先于1024位的2048位)。
Mozilla wiki有一些很好的建议: Security/Server Side TLS