每个月都有关于某些应用程序或平台在其 SSL 实现中使用过时的加密配置的文章。这让我很担心......我自己的实现呢?
当我在应用程序中使用 OpenSSL 以提供和/或使用 HTTPS 时,我应该怎么做才能以最安全的方式配置 OpenSSL?(例如与 cURL 结合使用)
除了配置之外,还必须采取哪些其他步骤来确保安全使用 OpenSSL?我应该采取什么特殊步骤,例如与公钥基础设施有关的步骤吗?
网络上有一些“已知良好”的配置吗?
每个月都有关于某些应用程序或平台在其 SSL 实现中使用过时的加密配置的文章。这让我很担心......我自己的实现呢?
当我在应用程序中使用 OpenSSL 以提供和/或使用 HTTPS 时,我应该怎么做才能以最安全的方式配置 OpenSSL?(例如与 cURL 结合使用)
除了配置之外,还必须采取哪些其他步骤来确保安全使用 OpenSSL?我应该采取什么特殊步骤,例如与公钥基础设施有关的步骤吗?
网络上有一些“已知良好”的配置吗?
确保您的证书提供商使用 SHA1 或更好的(首选 SHA2)哈希对您的证书进行签名。
HTTPS (SSL/TLS) 仅在您验证证书时才有效。这通常由客户端执行。如果客户端不通过验证证书来验证服务器的身份,你就会受到中间人攻击。
您可以将服务器配置为不允许旧的 (SSL) 协议,而需要最新的 TLS 协议,该协议在密码学上更强(例如,伪随机函数中的 SHA1 和 MD5 而不是 TLS 1.0 中的 MD5,以及TLS 1.2 使用 SHA2)。
创建证书密钥对时,请选择更长的密钥(例如,2048 位优于 1024 位)。
Mozilla wiki 上有一些很好的建议: Security/Server Side TLS