首先,我搜索了很多,但似乎找不到正确的搜索词。
我使用以下命令生成了 CSR:
openssl req -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/ssl.key -out /etc/ssl/ssl.csr
使用生成的 CSR,我通过 StartSSL 获得了 2 类签名证书。
问题是,当我在我的网站上使用 Chrome 查看证书信息时,它显示网站安全性已过时。
也许我需要更改 Apache2 mod_ssl 设置?
或者,如果是证书问题,我需要使用哪些 OpenSSL 选项来生成最新的 CSR 请求?
提前致谢。
答案1
首先,在您的 CSR 命令中添加“-sha256”,以确保您使用的是 SHA256,而不是安全性较低的 SHA1 或 MD5 哈希摘要。
其次,检查以确保服务器本身配置为仅使用 TLS 或更高版本。将您的 SSL 配置行(在/etc/httpd/conf.d/ssl.conf、您的站点文件中或您的发行版存储它们的任何其他地方)更改为至少以下限制:
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:!EXPORT:RC4+RSA:+HIGH:-MEDIUM:-LOW
有关更多信息,请参阅一份文档,其中指定了最低可接受算法和密钥强度CA/浏览器论坛,见附录 A。随着新标准的采用,该链接可能会过时,因此请密切关注其基线需求文件页面进行更新。