本篇文章給大家分享的是有關(guān)SSL證書的安全性和兼容性配置指南是怎樣的，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說(shuō)，跟著小編一起來(lái)看看吧。

創(chuàng)新互聯(lián)建站-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比石河子網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式石河子網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋石河子地區(qū)。費(fèi)用合理售后完善，10年實(shí)體公司更值得信賴。

一、SSL協(xié)議選擇

1，只使用安全協(xié)議版本TLSv1.1和TLSv1.2.

以apache為例，查招apache配置文件，找到SSLProtocol字段，去掉SSLProtocol All -SSLv2 -SSLv3 -TLSv1之前的注釋（或者自己寫也可以）。

2，如果你需要讓網(wǎng)站支持一些老舊的瀏覽器或操作系統(tǒng)，那么請(qǐng)輸入SSLProtocol All -SSLv2 -SSLv3即可。

二、禁止使用RC4密碼套件的必要性

2015年3月26日，國(guó)外數(shù)據(jù)安全公司Imperva的研究員Itsik Mantin在BLACK HAT ASIA 2015發(fā)表論文《Attacking SSL when using RC4》闡述了利用存在了13年之久的RC4漏洞——不變性弱密鑰（《Weakness in the Key Scheduling Algorithm of RC4》,FMS 發(fā)表于2001年）進(jìn)行的攻擊，并命名為“受戒禮”攻擊（Bar Mitzvah Attack）。根據(jù)《Attacking SSL when using RC4》中的闡述，漏洞的成因主要在于不變性弱密鑰是RC4密鑰中的一個(gè)L型的圖形，它一旦存在于RC4的密鑰中，在整個(gè)初始化的過程之中保持狀態(tài)轉(zhuǎn)換的完整性。這個(gè)完整的部分包括置換過程中的最低有效位，在由RPGA算法處理的時(shí)候，決定偽隨機(jī)輸出流的最低有效位。這些偏差的流字節(jié)和明文進(jìn)行過異或，導(dǎo)致密文中會(huì)泄露重要明文信息。

某寶平衡兼容性和安全性以后做出了保留RC4密碼套件的方法：

如果您的服務(wù)器需要支持IE6這種古董級(jí)別的瀏覽器，那么可以支持SSLv3版本協(xié)議，如果說(shuō)對(duì)兼容性沒有太大的需求，只要主流的瀏覽器能夠訪問那么就不要支持3DES系列的加密套件，如果說(shuō)想要在保證安全性的同時(shí)，也要有最好的兼容性，那么就可以采取TLS1.x協(xié)議+FS加密套件配置方式進(jìn)行配置。

以百度網(wǎng)站的兼容性為主舉例：

以下是按照安全性從低到高，兼容性從高到低的三種加密套件配置方法：

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH;

ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

三、PCI DSS合規(guī)要求

PCI安全標(biāo)準(zhǔn)委員會(huì)規(guī)定2018年6月30日之后，開啟TLS1.0將導(dǎo)致PCI DSS不合規(guī)。PCI DSS，全稱Payment Card Industry Data Security Standard,第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，是由PCI安全標(biāo)準(zhǔn)委員會(huì)制定，力在使國(guó)際上采用一致的數(shù)據(jù)安全措施。

早在去年6月30號(hào)PCI安全標(biāo)準(zhǔn)委員會(huì)官方發(fā)表博文將于2018年6月30號(hào)（最晚），也就是本月月底禁用早期SSL/TLS，并實(shí)施更安全的加密協(xié)議(TLS v1.1或更高版本,強(qiáng)烈建議使用TLS v1.2)以滿足PCI數(shù)據(jù)安全標(biāo)準(zhǔn)的要求，從而保護(hù)支付數(shù)據(jù)。

所以對(duì)于支付網(wǎng)站，提高安全性，符合PCI DSS合規(guī)要求還是比較重要的。

解決方案：評(píng)估兼容性后，禁用TLS1.0。

以apache配置為例，SSL協(xié)議可做如下所示設(shè)置:

ssl_protocols        TLSv1.1 TLSv1.2 TLSv1.3;

在未來(lái)安全評(píng)級(jí)也將對(duì)TLS1.0做出合適的降級(jí)處理，在評(píng)估兼容性影響后，還是建議大家關(guān)閉TLS1.0, 現(xiàn)在TLS1.3都出來(lái)了，未來(lái)主流應(yīng)該是TLS1.2+TLS1.3。

關(guān)于關(guān)閉TLS1.0的兼容性參考：大多數(shù)是比較老舊系統(tǒng)上自帶瀏覽器不支持，如果是主流用戶使用的Chrome、Firefox和國(guó)產(chǎn)瀏覽器基本都兼容。

四、優(yōu)先使用FS加密套件設(shè)置方法

如果服務(wù)器沒有指定FS系列加密套件優(yōu)先使用，則會(huì)相應(yīng)降級(jí)：

解決方法：以apche配置為例，打開apache配置文件httpd.conf，開啟或者加入這行字段SSLHonorCipherOrder on即可。設(shè)置FS系列加密套件以后，服務(wù)器順序優(yōu)先生效：

五、證書鏈缺失導(dǎo)致降級(jí)解決方法

問題：最近有人反饋在他們的域名在MySSL檢測(cè)報(bào)告中出現(xiàn):

很疑惑為什么只是證書鏈不完整就會(huì)降級(jí)到B。那在這里簡(jiǎn)單的說(shuō)明一下。

瀏覽器的處理：現(xiàn)代的瀏覽器都有證書自動(dòng)下載的功能，但很多瀏覽器在安裝后是使用系統(tǒng)內(nèi)置的證書庫(kù)，如果你缺失的那張CA證書，在系統(tǒng)的內(nèi)置證書庫(kù)中不存在的話，用戶第一次訪問網(wǎng)站時(shí)會(huì)顯示如下情況：（以Chrome為例）

即使你的證書確實(shí)是可信的，但依舊會(huì)顯示成不可信，只有等到瀏覽器自動(dòng)把缺失的那張CA證書從網(wǎng)上下載下來(lái)安裝調(diào)用之后，訪問該網(wǎng)站才會(huì)顯示成可信狀態(tài)。

而以上所有問題，安信證書都會(huì)結(jié)合網(wǎng)站性質(zhì)，做出最佳選擇，充分平衡網(wǎng)站的安全性和兼容性，帶給您“既超薄又安全”的新體驗(yàn)。

以安信證書官網(wǎng)安裝證書為例，我們?cè)谠u(píng)估兼容性和安全性后，采用了TLSv1.0+TLSv1.1+TLSv1.2的SSL協(xié)議，安全加密套件使用了不帶RC4的加密套件，并且設(shè)置了優(yōu)先使用FS系列加密套件。通過myssl官網(wǎng)檢測(cè)，除了XP系統(tǒng)下IE6瀏覽器不支持外，其余都是支持的，并且安全性也得到了極大的提升，安全評(píng)估為A級(jí)。

以上就是SSL證書的安全性和兼容性配置指南是怎樣的，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見到或用到的。希望你能通過這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。