我在 Firefox 中安装了 calomel 插件,它可以提供有关 SSL 证书质量的信息。我创建了一个自签名证书,它在 PFS 和 Bulk Cipher 上得分满分,但在其他方面得分不高。如何在 Debian 上创建更好的证书?
答案1
你搞混了。这里有两个独立的问题:
- 您的证书是使用 1024 位密钥创建的。这很容易纠正:
openssl genrsa -des3 -out privkey.pem 2048创建一个 2048 位密钥,其余过程保持不变。 - 您的网络服务器的加密配置不符合标准:您必须将使用椭圆曲线 DH 密钥交换的密码移至首选密码列表的前面。您应该将仅用于向后兼容的密码推到后面。
我的 Apache 配置目前如下所示:
SSLProtocol +TLSv1.2 +TLSv1.1 +TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA"
这给了Qualys SSL 服务器测试。
请注意,Apache 2.2才不是支持椭圆曲线密码术。