SSL /TLS 2023年最佳做法

在2023年，使用SSL /保护您的网站TLS 证书不再是可选的，即使是不直接处理网络上敏感客户信息的企业。 诸如Google之类的搜索引擎将网站安全性用作SEO排名信号，而诸如Chrome之类的流行网络浏览器则将用户提醒不使用HTTPS的网站：

但是，设置Web服务器和应用程序以使用SSL /TLS 正确的协议可能让人望而生畏，因为有许多神秘的配置和设计选择。 本指南快速概述了设置SSL /时要记住的要点TLS 为您的网站，同时注重安全性和性能。 仅基础知识仍有很多内容，因此我们将其分解为一系列步骤。

选择可靠的证书颁发机构（CA）

您的证书仅与颁发它们的CA一样值得信赖。 所有公共信任的CA都经过严格的第三方审核，以维持它们在主要操作系统和浏览器根证书程序中的地位，但是有些在保持这种状态方面要好于其他。 寻找一个（例如 SSL.com):

• 在公信力领域从事大部分业务 PKI. 如果发现不良的安全做法，这些企业将遭受最大的损失，而要跟上不断发展的行业标准，一切都会受益。
• 高效地响应影响用户安全和隐私的漏洞发现，例如全行业 序列号熵 2019年初版。搜索行业论坛，例如 Mozilla.dev.security.policy 可以帮助您了解特定CA如何应对逆境。
• 提供有用的产品和服务，例如扩展验证（EV）证书，通过直观的方式批量/自动颁发证书 API 或者 ACME协议，简便的证书生命周期管理和监视服务，以及 SUPPORT 与广泛的第三方解决方案列表集成。
• 在出色的客户服务和技术支持方面享有盛誉。 确保公司网站100％的安全是很重要的，当出现问题时，您需要能够通过电话找到真正的专家。

证书颁发机构授权（CAA）

证书颁发机构授权（CAA） 是通过指定允许为域名颁发证书的特定CA保护网站的标准。 选择CA后，您应该考虑 配置CAA记录 授权它。

生成并保护您的私钥

SSL /TLS 协议 使用 一对钥匙 验证身份并加密通过Internet发送的信息。 其中之一（ 公钥）用于广泛分发，而另一个（ 私钥）应尽可能安全地保存。 当您生成一个 证书签名请求（CSR)。 以下是有关私钥的一些注意事项：

• 使用强私钥： 较大的密钥更难破解，但需要更多的计算开销。 当前，建议至少使用2048位RSA密钥或256位ECDSA密钥，并且大多数网站可以在这些值优化性能和用户体验的同时实现良好的安全性。
  
  请注意： 有关这两种算法的概述，请参见SSL.com的文章， 比较ECDSA和RSA.
• 保护您的私钥：
  • 在安全和受信任的环境（最好在将要部署它们的服务器或FIPS或Common Criteria兼容设备）上生成自己的私钥。 从来没有 允许CA（或其他任何人）代表您生成私钥。 除非有安全的硬件令牌或HSM生成且不可导出，否则信誉良好的公共CA（例如SSL.com）将永远不会提供生成或处理您的私钥的功能。
  • 仅在需要时才允许访问私钥。 生成新密钥并 撤消 具有私钥访问权限的员工离开公司时，所有旧密钥的证书都将保留。
  • 尽可能地（至少每年一次）续签证书，最好每次都使用新生成的私钥。 自动化工具，例如 ACME协议 有助于安排频繁的证书更新。
  • 如果私钥已（或可能已经）遭到破坏， 撤消 此密钥的所有证书，生成新的密钥对，并为新的密钥对颁发新的证书。

配置服务器

在表面上， 安装SSL /TLS 证书 似乎是一个简单的操作； 但是，仍然需要做出许多配置决定，以确保您的Web服务器快速安全，并且确保最终用户获得流畅的体验，并且没有浏览器错误和警告。 以下是一些配置指针，可帮助您在设置SSL /TLS 在您的服务器上：

• 确保所有主机名都被覆盖：您的证书在使用和不使用时都覆盖您网站的域名 www 字首？ 有没有 使用者替代名称（SAN） 证书要保护的每个域名？
• 安装完整的证书链：最终实体SSL /TLS 证书通常由中间证书而不是CA的根密钥签名。 确保在您的Web服务器上安装了所有中间证书，以向浏览器提供完整的证书。 认证路径 并避免对最终用户的信任警告和错误。 您的CA将能够为您提供任何必要的中间产品； SSL.com的客户可以使用我们的 中级证书下载 页面以检索许多服务器平台的中间捆绑包。
• 使用当前的SSL /TLS 协议（TLS 1.2或1.3）：在2018年末，所有主要的浏览器供应商都宣布计划弃用 TLS 到1.0年上半年为1.1和2020。Google 弃用 TLS Chrome 1.0 中的 v1.1 和 v72（30 年 2919 月 84 日发布）。 Chrome 版本 14（2020 年 XNUMX 月 XNUMX 日发布）及更高版本对这些协议提出了插页式警告，并且计划支持 完全移除 2021年XNUMX月。广泛的浏览器支持较早的SSL /TLS SSL v3等版本早已不复存在。 而 TLS 1.2是目前使用最广泛的SSL /TLS 协议， TLS 1.3（最新版本）是 已经支持 在大多数主要网络浏览器的当前版本中。
• 使用安全密码套件的简短列表： 仅选择提供至少128位加密的密码套件，或者尽可能提供更强的密码套件。 美国国家标准技术研究院（NIST）还建议所有 TLS 实现从包含DES密码（或其变体）的密码套件转向使用AES的密码套件。 最后，仅使用一小部分可能被接受的密码套件，可以最大程度地减少尚未发现的漏洞的攻击面。 SSL.com的附录 指南 TLS 标准合规 使用以下命令提供了最流行的Web服务器平台的示例配置 TLS 1.2.
  
  请注意： 使用不安全的不建议使用的密码（例如RC4）可能会导致浏览器安全错误，例如 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 在Google Chrome中。
• 使用转发保密（FS）： 也被称为 完美前向保密（PFS），FS会确保泄露的私钥也不会破坏过去的会话密钥。 要启用FS：
  • 配置 TLS 1.2使用椭圆曲线Diffie-Hellman（EDCHE）密钥交换算法 （使用DHE作为后备），并在可能的情况下完全避免RSA密钥交换。
  • 使用 TLS 1.3. TLS 1.3 为所有人提供前瞻性保密 TLS 通过的会话 暂时性Diffie-Hellman（EDH或DHE） 密钥交换协议。
• 启用 TLS 会话恢复： 与使用keepalive维持持久的TCP连接类似， TLS 会话恢复允许您的Web服务器跟踪最近协商的SSL /TLS 会话并恢复它们，从而避免了会话密钥协商的计算开销。
• 考虑OCSP装订: OCSP装订 允许Web服务器将缓存的吊销信息直接传递给客户端，这意味着浏览器将不必联系OCSP服务器来检查网站的证书是否已被吊销。 通过消除此要求，OCSP装订可以真正提高性能。 有关更多信息，请阅读我们的文章， 页面加载优化：OCSP装订.

使用最佳实践进行Web应用程序设计

设计安全性高的Web应用程序与正确配置服务器一样重要。 这些是确保您的用户不会接触到的最重要的一点 中间人 攻击，并且您的应用程序获得了良好安全实践所带来的SEO收益：

• 消除混合内容： JavaScript文件，图像和CSS文件应 所有 使用SSL /访问TLS。 如SSL.com文章所述， HTTPS无处不在，服务 混合内容 不再是提高网站性能的可接受方法，并且可能导致浏览器安全警告和SEO问题。
• 使用安全Cookie： 设置 Secure Cookie中的标记将强制通过安全通道（例如HTTPS）进行传输。 您还可以阻止客户端JavaScript通过以下方式访问Cookie： HttpOnly 标记，并限制跨站点使用Cookie SameSite 旗。
• 评估第三方代码： 确保您了解在网站中使用第三方库的潜在风险，例如无意中引入漏洞或恶意代码的可能性。 始终尽力审查第三方的可信赖性，并使用HTTPS链接到所有第三方代码。 最后，请确保您从网站上任何第三方元素中受益是值得的。

使用诊断工具检查您的工作

设置SSL /之后TLS 在服务器和网站上进行更改或进行任何配置更改，确保所有设置均正确且系统安全非常重要。 许多诊断工具可用于检查您站点的SSL /TLS。 例如，SSL购物者的 SSL检查器 会告诉您证书是否正确安装，证书何时过期并显示证书的 信任链.

还可以使用其他在线工具和应用程序来爬网您的站点，以检查是否存在诸如混合内容之类的安全问题。 您也可以使用内置的开发人员工具，使用网络浏览器检查混合内容：

无论您选择哪种工具，设置时间表以检查SSL /TLS 安装和配置。 您的CA也许也可以帮助您； 例如，为方便我们的客户，SSL.com会自动提供即将到期证书的通知。

实施 HTTP 严格传输安全 (HSTS)

HTTP 严格传输安全 (HSTS) 是一种安全策略机制，有助于保护网站免受协议降级攻击和 cookie 劫持。 它允许 Web 服务器声明 Web 浏览器（或其他符合要求的用户代理）只能使用安全的 HTTPS 连接与其交互，而绝不能通过不安全的 HTTP 协议。 该策略由服务器通过名为“Strict-Transport-Security”的 HTTP 响应标头字段传达给用户代理。

实施 HTTP严格传输安全（HSTS），您需要在 Web 服务器的配置中添加特殊的响应标头。

这是一个分步指南：

1. 确保您的网站支持 HTTPS：在启用 HSTS 之前，您的站点必须具有有效的 SSL证书 并能够通过 HTTPS 提供内容。 如果您的网站尚未配置 HTTPS，您需要 获取 SSL 证书 并配置您的服务器以使用它。

标头始终设置 Strict-Transport-Security“max-age=31536000; includeSubDomains”

_{此行告诉浏览器在下一年（31,536,000 秒）始终对您的网站使用 HTTPS，包括所有子域。}

2. 测试你的配置：添加 HSTS 标头后，您应该测试您的网站以确保其正常工作。 您可以通过访问您的网站并使用浏览器的开发人员工具检查响应标头来完成此操作。 您应该会看到 Strict-Transport-Security 标头以及您设置的值。
3. 考虑将您的网站添加到 HSTS 预加载列表：HSTS 预加载列表是硬编码到支持 HSTS 的浏览器中的站点列表。 这提供了额外级别的保护，因为它可以确保与站点的首次连接是安全的，甚至在收到 HSTS 标头之前也是如此。 您可以将您的网站提交到 hstspreload.org 上的 HSTS 预加载列表。

用例：新闻网站希望确保用户始终安全地连接到该网站，即使他们不小心在 URL 中键入“http”而不是“https”。 该网站通过将 Strict-Transport-Security 标头添加到其服务器配置中、设置较长的 max-age 并包含所有子域来使用 HSTS。 这告诉用户代理始终使用 HTTPS 连接到它，从而保护用户免受试图将连接降级到 HTTP 并窃取其 cookie 的攻击。 该网站还将自身提交到 HSTS 预加载列表以获得额外保护。

实施 HTTP 公钥固定 (HPKP)

HTTP 公钥固定 (HPKP) 是一项安全功能，允许 Web 服务器将特定的加密公钥与其自身关联起来，以防止 中间人（MITM）攻击 并附有伪造的证书。

以下是其使用方式的简要概述：

1. 生成固定信息：实施 HPKP 的第一步是生成固定信息。 这涉及创建证书的公钥或中间或根证书的公钥的加密哈希。
2. 配置网络服务器：下一步是配置 Web 服务器以包含 公钥密码 HTTP 响应中的标头。 该标头包括公钥（“pin”）的哈希值、生存时间（浏览器应记住信息的时间）以及可选的报告 URI（浏览器将在其中发送 pin 验证失败的报告）。
3. 处理引脚验证失败：如果支持 HPKP 的浏览器收到的证书链不包含至少一个固定公钥，它将认为该连接不可信。 如果指定了报告 URI，浏览器还会向该 URI 发送失败报告。

但是，由于存在误用风险以及可能导致拒绝服务的风险，HPKP 已被大多数浏览器弃用，并且不再是推荐的做法。 HPKP 配置错误可能会导致网站无法访问。

用例：过去，一家科技公司使用 HPKP 将其公钥固定到服务器上。 这确保了如果证书颁发机构 (CA) 受到损害并且错误地为其域颁发了证书，浏览器将不会信任它，除非它也具有与其中一个固定密钥相匹配的公钥。 然而，他们必须非常小心，以避免失去对固定密钥的访问权限，这将导致他们的网站无法访问。 他们还必须确保在 pin 过期之前有一个适当的流程来轮换 pin，以避免使用缓存的 pin 信息的用户无法访问其网站。

使用 TLS 用于防止协议降级攻击的后备 SCSV

TLS 后备 SCSV (信令密码套件值）是为了防止协议降级攻击而引入的机制。 当攻击者干扰连接设置过程并诱骗客户端和服务器使用比它们实际支持的安全版本更低的协议时，就会发生这些攻击。

以下是您可以如何实施 TLS 后备 SCSV：

1. 更新您的服务器的 SSL/TLS 自学资料库：第一步是确保您的服务器的 SSL/TLS 图书馆支持 TLS 后备 SCSV。 此功能在 OpenSSL 1.0.1j、1.0.0o 和 0.9.8zc 中引入。 如果您使用不同的 SSL/TLS 库，检查其文档或联系其开发人员。
2. 配置服务器：一旦您的服务器的 SSL/TLS 图书馆支持 TLS 后备 SCSV，您可能需要配置服务器才能使用它。 确切的步骤取决于您的服务器软件。 例如，在 Apache 中，您可能需要在配置文件中添加或修改一行，如下所示：

SSL 协议全部 -SSLv2 -SSLv3

此行告诉服务器使用除 SSLv2 和 SSLv3 之外的所有协议版本。 如果客户端和服务器都支持 TLS 1.2，但是客户端尝试使用 TLS 1.1（可能是由于攻击者的干扰），服务器会将其识别为回退尝试并拒绝连接。

3. 测试您的服务器：配置服务器后，您应该对其进行测试以确保其正确实施 TLS 后备 SCSV。 有多种在线工具可以帮助您完成此任务，例如 SSL Labs Server Test。

用例：一家跨国公司使用 TLS 后备 SCSV 以保护其内部通信。 这确保了如果攻击者试图强制协议降级，服务器将识别这一点并拒绝连接，从而保护公司的敏感数据。 该公司的 IT 团队定期更新其服务器的 SSL/TLS 库和配置，以确保他们使用最新的安全功能，并且他们使用在线工具来测试他们的服务器并确认他们正在正确实施 TLS 后备 SCSV。

避免混合内容问题

当通过安全 HTTPS 连接加载的网页包含通过不安全 HTTP 连接加载的图像、视频、样式表或脚本等资源时，混合内容就会出现安全风险。 浏览器可能会阻止这种混合内容或向用户显示警告，这可能会损害用户对网站安全性的看法。

以下是避免混合内容问题的方法：

1. 对所有资源使用 HTTPS：避免混合内容的最直接方法是确保网站上的所有资源都通过 HTTPS 加载。 这包括图像、脚本、样式表、iframe、AJAX 请求以及您的站点使用的任何其他资源。
2. 更新您网站的代码：如果您网站的代码包含硬编码的资源 HTTP URL，您需要更新这些资源以使用 HTTPS。 如果资源托管在不支持 HTTPS 的服务器上，您可能需要在自己的服务器上托管资源或查找可通过 HTTPS 加载的替代资源。
3. 配置您的服务器以发送 Content-Security-Policy 标头：内容安全策略 (CSP) HTTP 标头允许您控制网站允许加载的资源。 通过设置仅允许 HTTPS 资源的 CSP 标头，您可以确保您的网站不会意外包含混合内容。

用例：在线杂志确保所有内容（包括图像和脚本）都通过 HTTPS 加载。 这可以防止攻击者篡改这些资源并可能注入恶意内容。 该杂志的 Web 开发人员定期检查网站的代码，以确保所有资源都通过 HTTPS 加载，并且他们将服务器配置为发送严格的 Content-Security-Policy 标头。 他们还使用在线工具扫描其网站是否存在混合内容问题并修复他们发现的任何问题。

利用服务器名称指示 (SNI) 托管多个站点

服务器名称指示（SNI） 是对 TLS 允许服务器在同一 IP 地址和端口号上提供多个证书的协议。 这对于需要在同一服务器上托管多个安全网站（每个网站都有自己的 SSL 证书）的 Web 托管提供商特别有用。

以下是使用 SNI 的方法：

1. 确保您的服务器软件支持 SNI：第一步是确保您的服务器软件支持SNI。 大多数现代 Web 服务器（包括 Apache、Nginx 和 IIS）都支持 SNI。
2. 配置服务器：下一步是将您的服务器配置为使用 SNI。 这通常涉及为要在服务器上托管的每个站点添加单独的配置块，并指定 SSL证书 用于每个站点。 确切的步骤取决于您的服务器软件。
3. 测试您的配置：配置服务器后，您应该测试它以确保它正确使用 SNI。 您可以通过访问服务器上托管的每个站点并检查是否使用了正确的 SSL 证书来完成此操作。

用例：托管提供商使用 SNI 为来自同一 IP 地址的多个网站提供服务。 这使他们能够有效地使用其 IP 地址空间并简化其网络配置。 他们将服务器配置为为每个站点使用不同的 SSL 证书，并定期测试其配置以确保每个站点使用正确的证书。 这可以确保每个站点都具有安全、可信的连接，即使它们都由同一 IP 地址提供服务。

通过会话恢复优化性能

会话恢复是 TLS 该协议允许客户端和服务器在多个会话中使用相同的加密密钥，从而减少每次建立新的安全连接的开销。 这可以显着提高性能，特别是对于客户端频繁断开连接和重新连接的应用程序。

 以下是使用会话恢复的方法：

1. 确保您的服务器软件支持会话恢复：第一步是确保您的服务器软件支持会话恢复。 大多数现代 Web 服务器（包括 Apache、Nginx 和 IIS）都支持此功能。
2. 配置服务器：下一步是将您的服务器配置为使用会话恢复。 这通常涉及启用会话缓存并为缓存设置超时值。 确切的步骤取决于您的服务器软件。
3. 测试您的配置：配置服务器后，您应该对其进行测试以确保它正确使用会话恢复。 您可以通过建立一个 TLS 连接到您的服务器，断开连接，然后重新连接。 如果会话恢复工作正常，第二个连接的建立速度应该比第一个连接更快。

用例：移动应用程序使用会话恢复来维持快速、安全的连接。 当应用程序在网络覆盖不稳定的区域使用时，这特别有用，因为它允许应用程序在丢失后快速重新建立安全连接。 该应用程序的开发人员将其服务器配置为使用会话恢复，并定期测试该功能以确保其正常工作。 这确保了应用程序即使在具有挑战性的网络条件下也可以为用户提供快速、无缝的体验。

使用 OCSP 装订确保证书有效性

在线证书状态协议 (OCSP) 装订是一种提高 SSL/TLS 同时保持连接的安全性。 它允许服务器从证书颁发机构 (CA) 获取其自身证书的当前状态，然后在证书颁发机构期间将该状态传递给客户端。 TLS 握手。

以下是实施 OCSP 装订的方法：

1. 确保您的服务器软件支持 OCSP 装订：第一步是确保您的服务器软件支持 OCSP 装订。 大多数现代 Web 服务器（包括 Apache、Nginx 和 IIS）都支持此功能。
2. 配置服务器：下一步是将服务器配置为使用 OCSP 装订。 这通常涉及在服务器的 SSL/TLS 配置并指定服务器存储 OCSP 响应的位置。 确切的步骤取决于您的服务器软件。
3. 测试您的配置：配置服务器后，您应该对其进行测试以确保它正确使用 OCSP 装订。 您可以通过建立一个 TLS 连接到您的服务器并检查服务器是否在 OCSP 响应中包含 TLS 握手。

用例：在线零售商使用 OCSP 装订来快速验证其 SSL 证书的状态。 这可确保客户始终拥有安全的连接，并相信他们的数据是安全的。 该零售商的 IT 团队将其服务器配置为使用 OCSP 装订，并定期测试该功能以确保其正常工作。 这有助于维持客户的信任并保护他们的敏感数据。

关闭 TLS 压缩以减轻犯罪攻击

TLS 压缩是一项可以提高 SSL/TLS 通过减少需要通过网络发送的数据量。 然而，它也可能使连接容易受到 CRIME（压缩比信息泄漏变得容易）攻击，这可以让攻击者推断加密流量的内容。

以下是您可以禁用的方法 TLS 压缩： 

1. 确保您的服务器软件支持禁用 TLS 压缩：第一步要确保你的服务器软件支持禁用 TLS 压缩。 大多数现代 Web 服务器（包括 Apache、Nginx 和 IIS）都支持此功能。
2. 配置服务器：下一步是将您的服务器配置为禁用 TLS 压缩。 确切的步骤取决于您的服务器软件。 例如，在 Apache 中，您可以将如下行添加到配置文件中：

SSL 压缩关闭

此行告诉服务器不要对 SSL/使用压缩TLS 连接。

3. 测试您的配置：配置服务器后，您应该对其进行测试以确保其正确禁用 TLS 压缩。 您可以通过建立一个 TLS 连接到您的服务器并检查连接是否未使用压缩。

用例：金融机构禁用 TLS 在其服务器上进行压缩以防止犯罪攻击。 这有助于确保敏感财务数据（例如帐号和交易详细信息）的机密性。 该机构的 IT 团队将其服务器配置为禁用 TLS 压缩，他们定期测试服务器以确保正确实施此安全措施。 这有助于保护该机构的客户并维持他们的信任。

实施 TLS 正确的会话门票

TLS 会话门票是 TLS 该协议可以通过允许客户端和服务器恢复先前的会话而无需执行完整的握手来提高性能。 然而，它们需要正确实施以避免潜在的安全问题。

以下是正确实施的方法 TLS 会议门票：

1. 确保您的服务器软件支持 TLS 会议门票：第一步是确保您的服务器软件支持 TLS 会议门票。 大多数现代 Web 服务器（包括 Apache、Nginx 和 IIS）都支持此功能。
2. 配置服务器：下一步是配置您的服务器以使用 TLS 会议门票。 这通常涉及在服务器的 SSL/TLS 配置。 确切的步骤取决于您的服务器软件。
3. 使用唯一的会话票证密钥：为了防止潜在的安全问题，每个服务器应使用唯一的会话票证密钥。 如果您使用负载均衡器，则应将其配置为根据会话票证分配客户端，而不是允许客户端使用一台服务器颁发的会话票证与另一台服务器建立会话。
4. 定期轮换会话票证密钥：为了进一步增强安全性，您应该定期轮换会话票证密钥。 这通常可以使用服务器软件或单独的密钥管理系统来自动化。

用例：拥有多台服务器的大型科技公司确保每台服务器都使用唯一的会话票证密钥。 这可以防止攻击者使用一台服务器的会话票证来冒充另一台服务器上的用户。 公司的 IT 团队配置其服务器以使用 TLS 会话票证，他们建立了一个系统来定期轮换会话票证密钥。 他们还配置负载均衡器以根据会话票证分配客户端，从而进一步增强系统的安全性。

启用安全重新协商

安全重新协商是 SSL/TLS 允许客户端或服务器请求新的协议 TLS 在会议中间握手。 这对于多种原因都很有用，例如刷新加密密钥或更改加密级别。 但是，如果处理不当，攻击者可能会利用它向加密通信中注入明文。

以下是启用安全重新协商的方法：

2. 确保您的服务器软件支持安全重新协商：第一步是确保您的服务器软件支持安全重新协商。 大多数现代 Web 服务器（包括 Apache、Nginx 和 IIS）都支持此功能。
3. 配置服务器：下一步是将您的服务器配置为使用安全重新协商。 这通常涉及在服务器的 SSL/TLS 配置。 确切的步骤取决于您的服务器软件。
4. 测试您的配置：配置服务器后，您应该对其进行测试以确保它正确使用安全重新协商。 您可以通过建立一个 TLS 连接到您的服务器，然后尝试重新协商连接。

用例：社交媒体平台支持安全重新协商以保护用户数据。 这可以防止攻击者将恶意内容注入用户和服务器之间的加密通信中。 该平台的 IT 团队将其服务器配置为使用安全重新协商，并定期测试服务器以确保正确实施此安全措施。 这有助于保护平台用户并维持他们的信任。

禁用客户端发起的重新协商以防止 DoS 攻击

客户端发起的重新协商是 SSL/TLS 允许客户端请求新的协议 TLS 在会议中间握手。 但是，如果攻击者可以强制服务器不断重新协商会话，则可能会消耗过多的资源，并可能导致拒绝服务 (DoS) 攻击。

以下是禁用客户端发起的重新协商的方法：

1. 确保您的服务器软件支持禁用客户端启动的重新协商：第一步是确保您的服务器软件支持禁用客户端发起的重新协商。 大多数现代 Web 服务器（包括 Apache、Nginx 和 IIS）都支持此功能。
2. 配置服务器：下一步是配置服务器以禁用客户端发起的重新协商。 这通常涉及向服务器的 SSL/添加指令TLS 配置。 确切的步骤取决于您的服务器软件。
3. 测试您的配置：配置服务器后，您应该对其进行测试以确保它正确禁用客户端启动的重新协商。 您可以通过建立一个 TLS 连接到您的服务器，然后尝试重新协商连接。 如果服务器正确拒绝重新协商请求，则说明配置正确。

用例：在线游戏平台禁用客户端发起的重新协商，以防止潜在的 DoS 攻击。 这有助于确保即使面对潜在的攻击，该平台仍然可供用户使用。 该平台的 IT 团队将其服务器配置为禁用客户端发起的重新协商，并定期测试服务器以确保正确实施此安全措施。 这有助于保护平台用户并维持他们的信任。

保持警惕以发现新漏洞

Web安全是一个不断发展的目标，因此您应始终注意下次攻击，并立即在服务器上应用安全补丁。 这意味着阅读并与信息安全方面的最新动态保持联系，并掌握软件更新（尤其是关键更新）的最新情况。 SSL.com的网站 （您现在正在阅读的位置）是了解SSL /最新信息的绝佳来源TLS 和信息安全。

但是关于…？

如果您想进一步了解本指南中涉及的任何主题并了解新出现的问题和技术，则可以通过浏览和搜索SSL.com的 知识库，我们会每周更新SSL /领域的最新动态TLS 和 PKI。 您也可以随时通过以下电子邮件随时与我们的支持人员联系： Support@SSL.com，通过电话 1-877-SSL-Secure，或单击此页面右下角的聊天链接。

获取有关 SSL 证书的专家建议。
填写咨询表格。