怎麼讓SSL證書部署在服務器上更加完美安全——知識分享

不少人常常跟我提起，如今SSL部署變得愈來愈簡單，大部分的時候經過搜索引擎或者經過閱讀一些技術人員寫的博客基本上均可以完成一個SSL證書在各種服務 器上的部署。儘管SSL與HTTPS服務於各行業站點作加密已經很長時間了，他們仍然不僅是安裝上去那麼簡單，在證書的背後，還有一些問題：使用新的更加 安全的加密套件，站點內容是否包含有不安全的內容，等等，經過對這些問題的深刻討論，SSL在服務器上的部署就不那麼看似簡單了。

    對於防止黑客的入侵和盜竊網絡資源一直以來是安全行業前進的驅動力，更多的專家不斷的在提出新的方案設計和構建更加安全的防禦系統，網絡安全協議做爲其中之一，一直以來更新的網絡安全協議的更新，都是旨在爲提升網絡服務的安全性，保證在線交易服務儘量的不受到最新風險的威脅。

    這種狀況的出現也須要系統管理員不斷的調整網絡服務器上的安全策略，去年被廣爲推崇的最好的方案在今年可能已經徹底再也不適用。所以對於系統管理員的要求也是須要不斷的提升在安全性上的認知，同時也須要獲取更新的安全信息，優化SSL在服務器上的部署，以尋求儘量保障服務器的安全。

 

    在提升網絡服務器的SSL部署優化方面，咱們一般建議系統管理員注意：

使用更加安全的加密套件

這是SSL配置使得系統管理員更爲迷惑的部分之一，同時它也是最重要的一個，不管目前所使用的證書的私鑰長度有多麼強大，可是SSL的加密套件同時也是很重要的，由於它加密了會話密鑰。

                                 

                              

對於這一點，咱們提出對常見的服務器支持的方案

 

Apache

SSLProtocol-ALL +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2;

SSLCipherSuite"EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDHEDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

SSLHonorCipherOrderon;

Nginx

ssl_protocolsSSLv3 TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers"EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL!eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

ssl_prefer_server_cipherson;

 

     這些設定基於服務器的強度加密，互操做性是同時須要服務器和客戶端支持的，也就是說若是在服務器上已經配置了更新的加密套件，也須要儘量使用比較新的瀏覽器，例如Chrome/Firefox。

在SSL協議下禁用不安全的HTTP調用

一般，咱們經過瀏覽器訪問一個已經部署了SSL的網站，若是這個網站中包含了一些非HTTPS的內容調用，這些內容多是圖片，外站 Javascript，或者其餘的一些網頁內的資源，致使了當訪問這個網站時，瀏覽器會提醒當前網站中包含一些不安全的內容，從而沒法正常顯示加密狀態的鎖狀標誌。

                                

 

對於這種狀況，最簡單的辦法通常就是經過Chrome瀏覽器自帶的開發者工具，在控制檯中從新加載當前頁面，全部有問題的資源將會顯示在控制檯中，只要盡數將其更改至HTTPS協議保護下的資源，就能夠解決如上圖所提示的問題。

在服務器的安全優化以及部署上，本文可能還有不少沒有說起的問題，同時，安全性也不只僅是軟件問題，同時存在於硬件，例如路由器，防火牆等。

在計算機計算能力迅速發展的今天，對於層出不窮的各類網絡攻擊事件，對於系統管理員來說不只須要進行平常系統提供的安全更新;同時更應該深刻到安全協議層面，只有對協議更加了解，才能防禦針對於對協議層面出現的攻擊。

 

因此一個看似簡單的SSL部署，其可能涉及到的內容並無那麼簡單。