en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

SSL /TLS 2021年最佳做法

在2021年,使用SSL /保护您的网站TLS 证书不再是可选的,即使是不直接处理网络上敏感客户信息的企业。 诸如Google之类的搜索引擎将网站安全性用作SEO排名信号,而诸如Chrome之类的流行网络浏览器则将用户提醒不使用HTTPS的网站:

浏览器适用于不安全的网站

但是,设置Web服务器和应用程序以使用SSL /TLS 正确的协议可能让人望而生畏,因为有许多神秘的配置和设计选择。 本指南快速概述了设置SSL /时要记住的要点TLS 为您的网站,同时注重安全性和性能。 仅基础知识仍有很多内容,因此我们将其分解为一系列步骤。

选择可靠的证书颁发机构(CA)

您的证书仅与颁发它们的CA一样值得信赖。 所有公共信任的CA都经过严格的第三方审核,以维持它们在主要操作系统和浏览器根证书程序中的地位,但是有些在保持这种状态方面要好于其他。 寻找一个(例如 SSL.com):

  • 在公信力领域从事大部分业务 PKI. 如果发现不良的安全做法,这些企业将遭受最大的损失,而要跟上不断发展的行业标准,一切都会受益。
  • 高效地响应影响用户安全和隐私的漏洞发现,例如全行业 序列号熵 2019年初版。搜索行业论坛,例如 Mozilla.dev.security.policy 可以帮助您了解特定CA如何应对逆境。
  • 提供有用的产品和服务,例如扩展验证(EV)证书,通过直观的方式批量/自动颁发证书 API 或者 ACME协议,简便的证书生命周期管理和监视服务,以及 支持 与广泛的第三方解决方案列表集成。
  • 在出色的客户服务和技术支持方面享有盛誉。 确保公司网站100%的安全是很重要的,当出现问题时,您需要能够通过电话找到真正的专家。

证书颁发机构授权(CAA)

证书颁发机构授权(CAA) 是通过指定允许为域名颁发证书的特定CA保护网站的标准。 选择CA后,您应该考虑 配置CAA记录 授权它。

生成并保护您的私钥

新的 SSL /TLS 协议 使用 一对钥匙 验证身份并加密通过Internet发送的信息。 其中之一( 公钥)用于广泛分发,而另一个( 私钥)应尽可能安全地保存。 当您生成一个 证书签名请求(CSR)。 以下是有关私钥的一些注意事项:

  • 使用强私钥: 较大的密钥更难破解,但需要更多的计算开销。 当前,建议至少使用2048位RSA密钥或256位ECDSA密钥,并且大多数网站可以在这些值优化性能和用户体验的同时实现良好的安全性。
    请注意: 有关这两种算法的概述,请参见SSL.com的文章, 比较ECDSA和RSA.
  • 保护您的私钥:
    • 在安全和受信任的环境(最好在将要部署它们的服务器或FIPS或Common Criteria兼容设备)上生成自己的私钥。 从来没有 允许CA(或其他任何人)代表您生成私钥。 除非有安全的硬件令牌或HSM生成且不可导出,否则信誉良好的公共CA(例如SSL.com)将永远不会提供生成或处理您的私钥的功能。
    • 仅在需要时才允许访问私钥。 生成新密钥并 撤消 具有私钥访问权限的员工离开公司时,所有旧密钥的证书都将保留。
    • 尽可能地(至少每年一次)续签证书,最好每次都使用新生成的私钥。 自动化工具,例如 ACME协议 有助于安排频繁的证书更新。
    • 如果私钥已(或可能已经)遭到破坏, 撤消 此密钥的所有证书,生成新的密钥对,并为新的密钥对颁发新的证书。

配置服务器

在表面上, 安装SSL /TLS 证书 似乎是一个简单的操作; 但是,仍然需要做出许多配置决定,以确保您的Web服务器快速安全,并且确保最终用户获得流畅的体验,并且没有浏览器错误和警告。 以下是一些配置指针,可帮助您在设置SSL /TLS 在您的服务器上:

  • 确保所有主机名都被覆盖:您的证书在使用和不使用时都覆盖您网站的域名 www 字首? 有没有 使用者替代名称(SAN) 证书要保护的每个域名?
  • 安装完整的证书链:最终实体SSL /TLS 证书通常由中间证书而不是CA的根密钥签名。 确保在您的Web服务器上安装了所有中间证书,以向浏览器提供完整的证书。 认证路径 并避免对最终用户的信任警告和错误。 您的CA将能够为您提供任何必要的中间产品; SSL.com的客户可以使用我们的 中级证书下载 页面以检索许多服务器平台的中间捆绑包。
  • 使用当前的SSL /TLS 协议(TLS 1.2或1.3):在2018年末,所有主要的浏览器供应商都宣布计划弃用 TLS 到1.0年上半年为1.1和2020。Google 弃用 TLS Chrome 1.0中的v1.1和v72(30年2919月84日发布)。 Chrome 14版本(于2020年XNUMX月XNUMX日发布)及更高版本对这些协议提出了插页式警告,并将提供支持 完全移除 2021年XNUMX月。广泛的浏览器支持较早的SSL /TLS SSL v3等版本早已不复存在。 而 TLS 1.2是目前使用最广泛的SSL /TLS 协议, TLS 1.3(最新版本)是 已经支持 在大多数主要网络浏览器的当前版本中。
  • 使用安全密码套件的简短列表: 仅选择提供至少128位加密的密码套件,或者尽可能提供更强的密码套件。 美国国家标准技术研究院(NIST)还建议所有 TLS 实现从包含DES密码(或其变体)的密码套件转向使用AES的密码套件。 最后,仅使用一小部分可能被接受的密码套件,可以最大程度地减少尚未发现的漏洞的攻击面。 SSL.com的附录 指南 TLS 标准合规 使用以下命令提供了最流行的Web服务器平台的示例配置 TLS 1.2.
    请注意: 使用不安全的不建议使用的密码(例如RC4)可能会导致浏览器安全错误,例如 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 在Google Chrome中。
  • 使用转发保密(FS): 也被称为 完美前向保密(PFS),FS会确保泄露的私钥也不会破坏过去的会话密钥。 要启用FS:
    • 配置 TLS 1.2使用椭圆曲线Diffie-Hellman(EDCHE)密钥交换算法 (使用DHE作为后备),并在可能的情况下完全避免RSA密钥交换。
    • 使用方法 TLS 1.3. TLS 1.3 为所有人提供前瞻性保密 TLS 通过的会话 暂时性Diffie-Hellman(EDH或DHE) 密钥交换协议。
  • 启用 TLS 会话恢复: 与使用keepalive维持持久的TCP连接类似, TLS 会话恢复允许您的Web服务器跟踪最近协商的SSL /TLS 会话并恢复它们,从而避免了会话密钥协商的计算开销。
  • 考虑OCSP装订: OCSP装订 允许Web服务器将缓存的吊销信息直接传递给客户端,这意味着浏览器将不必联系OCSP服务器来检查网站的证书是否已被吊销。 通过消除此要求,OCSP装订可以真正提高性能。 有关更多信息,请阅读我们的文章, 页面加载优化:OCSP装订.

使用最佳实践进行Web应用程序设计

设计安全性高的Web应用程序与正确配置服务器一样重要。 这些是确保您的用户不会接触到的最重要的一点 中间人 攻击,并且您的应用程序获得了良好安全实践所带来的SEO收益:

  • 消除混合内容: JavaScript文件,图像和CSS文件应 所有 使用SSL /访问TLS。 如SSL.com文章所述, HTTPS无处不在,服务 混合内容 不再是提高网站性能的可接受方法,并且可能导致浏览器安全警告和SEO问题。
  • 使用安全Cookie: 设置 Secure Cookie中的标记将强制通过安全通道(例如HTTPS)进行传输。 您还可以阻止客户端JavaScript通过以下方式访问Cookie: HttpOnly 标记,并限制跨站点使用Cookie SameSite 旗。
  • 评估第三方代码: 确保您了解在网站中使用第三方库的潜在风险,例如无意中引入漏洞或恶意代码的可能性。 始终尽力审查第三方的可信赖性,并使用HTTPS链接到所有第三方代码。 最后,请确保您从网站上任何第三方元素中受益是值得的。

使用诊断工具检查您的工作

设置SSL /之后TLS 在服务器和网站上进行更改或进行任何配置更改,确保所有设置均正确且系统安全非常重要。 许多诊断工具可用于检查您站点的SSL /TLS。 例如,SSL购物者的 SSL检查器 会告诉您证书是否正确安装,证书何时过期并显示证书的 信任链.

还可以使用其他在线工具和应用程序来爬网您的站点,以检查是否存在诸如混合内容之类的安全问题。 您也可以使用内置的开发人员工具,使用网络浏览器检查混合内容:

混合内容警告
Chrome控制台中的混合内容警告

无论您选择哪种工具,设置时间表以检查SSL /TLS 安装和配置。 您的CA也许也可以帮助您; 例如,为方便我们的客户,SSL.com会自动提供即将到期证书的通知。

保持警惕以发现新漏洞

Web安全是一个不断发展的目标,因此您应始终注意下次攻击,并立即在服务器上应用安全补丁。 这意味着阅读并与信息安全方面的最新动态保持联系,并掌握软件更新(尤其是关键更新)的最新情况。 SSL.com的网站 (您现在正在阅读的位置)是了解SSL /最新信息的绝佳来源TLS 和信息安全。

但是关于…?

如果您想进一步了解本指南中涉及的任何主题并了解新出现的问题和技术,则可以通过浏览和搜索SSL.com的 知识库,我们会每周更新SSL /领域的最新动态TLS 和 PKI。 您也可以随时通过以下电子邮件随时与我们的支持人员联系: Support@SSL.com,通过电话 1-877-SSL-Secure,或单击此页面右下角的聊天链接。

SSL.com提供了多种 SSL /TLS 服务器证书 用于HTTPS网站。

比较SSL /TLS 证书

分享到Twitter
Twitter
在Facebook上分享
Facebook
分享到LinkedIn
LinkedIn
分享Reddit上
Reddit
分享电子邮件
电子邮箱: