SSL證書的安全性和兼容性配置指南是怎樣的

本篇文章給大家分享的是有關SSL證書的安全性和兼容性配置指南是怎樣的，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

一、SSL協議選擇

1，只使用安全協議版本TLSv1.1和TLSv1.2.

以apache為例，查招apache配置文件，找到SSLProtocol字段，去掉SSLProtocol All -SSLv2 -SSLv3 -TLSv1之前的注釋（或者自己寫也可以）。

2，如果你需要讓網站支持一些老舊的瀏覽器或操作系統，那么請輸入SSLProtocol All -SSLv2 -SSLv3即可。

二、禁止使用RC4密碼套件的必要性

2015年3月26日，國外數據安全公司Imperva的研究員Itsik Mantin在BLACK HAT ASIA 2015發表論文《Attacking SSL when using RC4》闡述了利用存在了13年之久的RC4漏洞——不變性弱密鑰（《Weakness in the Key Scheduling Algorithm of RC4》,FMS 發表于2001年）進行的攻擊，并命名為“受戒禮”攻擊（Bar Mitzvah Attack）。根據《Attacking SSL when using RC4》中的闡述，漏洞的成因主要在于不變性弱密鑰是RC4密鑰中的一個L型的圖形，它一旦存在于RC4的密鑰中，在整個初始化的過程之中保持狀態轉換的完整性。這個完整的部分包括置換過程中的最低有效位，在由RPGA算法處理的時候，決定偽隨機輸出流的最低有效位。這些偏差的流字節和明文進行過異或，導致密文中會泄露重要明文信息。

某寶平衡兼容性和安全性以后做出了保留RC4密碼套件的方法：

如果您的服務器需要支持IE6這種古董級別的瀏覽器，那么可以支持SSLv3版本協議，如果說對兼容性沒有太大的需求，只要主流的瀏覽器能夠訪問那么就不要支持3DES系列的加密套件，如果說想要在保證安全性的同時，也要有最好的兼容性，那么就可以采取TLS1.x協議+FS加密套件配置方式進行配置。

以百度網站的兼容性為主舉例：

以下是按照安全性從低到高，兼容性從高到低的三種加密套件配置方法：

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH;

ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

三、PCI DSS合規要求

PCI安全標準委員會規定2018年6月30日之后，開啟TLS1.0將導致PCI DSS不合規。PCI DSS，全稱Payment Card Industry Data Security Standard,第三方支付行業數據安全標準，是由PCI安全標準委員會制定，力在使國際上采用一致的數據安全措施。

早在去年6月30號PCI安全標準委員會官方發表博文將于2018年6月30號（最晚），也就是本月月底禁用早期SSL/TLS，并實施更安全的加密協議(TLS v1.1或更高版本,強烈建議使用TLS v1.2)以滿足PCI數據安全標準的要求，從而保護支付數據。

所以對于支付網站，提高安全性，符合PCI DSS合規要求還是比較重要的。

解決方案：評估兼容性后，禁用TLS1.0。

以apache配置為例，SSL協議可做如下所示設置:

ssl_protocols        TLSv1.1 TLSv1.2 TLSv1.3;

在未來安全評級也將對TLS1.0做出合適的降級處理，在評估兼容性影響后，還是建議大家關閉TLS1.0, 現在TLS1.3都出來了，未來主流應該是TLS1.2+TLS1.3。

關于關閉TLS1.0的兼容性參考：大多數是比較老舊系統上自帶瀏覽器不支持，如果是主流用戶使用的Chrome、Firefox和國產瀏覽器基本都兼容。

四、優先使用FS加密套件設置方法

如果服務器沒有指定FS系列加密套件優先使用，則會相應降級：

解決方法：以apche配置為例，打開apache配置文件httpd.conf，開啟或者加入這行字段SSLHonorCipherOrder on即可。設置FS系列加密套件以后，服務器順序優先生效：

五、證書鏈缺失導致降級解決方法

問題：最近有人反饋在他們的域名在MySSL檢測報告中出現:

很疑惑為什么只是證書鏈不完整就會降級到B。那在這里簡單的說明一下。

瀏覽器的處理：現代的瀏覽器都有證書自動下載的功能，但很多瀏覽器在安裝后是使用系統內置的證書庫，如果你缺失的那張CA證書，在系統的內置證書庫中不存在的話，用戶第一次訪問網站時會顯示如下情況：（以Chrome為例）

即使你的證書確實是可信的，但依舊會顯示成不可信，只有等到瀏覽器自動把缺失的那張CA證書從網上下載下來安裝調用之后，訪問該網站才會顯示成可信狀態。

而以上所有問題，安信證書都會結合網站性質，做出最佳選擇，充分平衡網站的安全性和兼容性，帶給您“既超薄又安全”的新體驗。

以安信證書官網安裝證書為例，我們在評估兼容性和安全性后，采用了TLSv1.0+TLSv1.1+TLSv1.2的SSL協議，安全加密套件使用了不帶RC4的加密套件，并且設置了優先使用FS系列加密套件。通過myssl官網檢測，除了XP系統下IE6瀏覽器不支持外，其余都是支持的，并且安全性也得到了極大的提升，安全評估為A級。

以上就是SSL證書的安全性和兼容性配置指南是怎樣的，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。