Авторизация
Новости компании
Отзывы
SSL сертификаты
Отключить SSLv3 на сервере
Протокол шифрования SSLv3 сильно себя скомпрометировал, точнее своих разработчиков. Теперь многие знают как его взломать и расшифровать перехваченные данные, поэтому теперь настоятельно рекомендуется отключать его использование, чтобы даже старые версии браузеров не соединялись с пользователем, используя SSLv3.
На разных серверах SSLv3 отключается по-разному:
APACHE
Для отключения SSLv3 на вашем сервере Apache вы можете сконфигурировать его используя следующее.
SSLProtocol All -SSLv2 -SSLv3
Этот даст вам поддержку TLSv1.0, TLSv1.1 и TLSv1.2, но явным образом уберёт поддержку SSLv2 и SSLv3. Проверьте конфигурацию и перезапустите Apache.
# apachectl configtest
# service apache2 restart
NGINX
Отключение поддержки SSLv3 на NginX действительно просто.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Как и в конфигурации Apache выше, вы получите поддержку TLSv1.0+ и отсутствие SSL. Вы можете проверить конфигурацию и перезапустить.
# nginx -t
# service nginx restart
IIS
На этом сервере нужно редактировать регистр и перезапустить сервер.
У Microsoft есть статья с требуемой информацией, но всем вам нужно изменить/создать величину DWORD в регистре.
HKey_Local_MachineSystemCurrentControlSetControlSecurityProviders SCHANNELProtocols
Внутри протокола, весьма вероятно, уже есть ключ по SSL 2.0, следовательно создайте отдельный SSL 3.0 если нужно. Внутри этого создайте ключ сервера и внутри величину DWORD, названную Enabled со значением 0. Как сделаете это, перезапустите сервер и изменения вступят в силу.
[encoded data]
------END CERTIFICATE-----
2. Скачать с сайта провайдера сертификаты Intermediate CA Certificate и ROOT CA Certificate.
3. Объединить эти 3 сертификата в один файл и сохранить с расширением .crt (сначала полученный на почту Server Certificate, затем Intermediate CA Certificate и в конце ROOT CA Certificate).
4. Сохранить ключ запроса сертификата в файл с расширением .key, его вид:
-----BEGIN PRIVATE KEY-----
[encoded data]
-----END PRIVATE KEY-----
***... проверить, что ссылки ssl_sertificate в apache.conf или nginx.conf ведут именно на эти файлы...***
5. Перезапустить веб сервер (service nginx restart | service apache2 restart | /etc/init.d/nginx restart или /etc/init.d/apache2 restart)
Проверить сертификат:
Если не работает, то проверить существование записей в файле-конфигурации веб сервера, которые указывают на сохранённые файлы
ssl on;
ssl_certificate /etc/ssl/your_SSL.crt;
ssl_certificate_key /etc/ssl/your_domain_name.key
SSL сертификат нужен, прежде всего, для установления шифрованного соединения между пользователем и сайтом. При этом вся информация, которой они обмениваются, защищена от посторонних и ни провайдер, ни оператор, ни администратор wifi-сети не смогут её расшифровать.
Второе, не менее важное назначение SSL сетрификата - это подтверждение подлинности сайта. Ведь при регистрации SSL сетрификата владелец сайта указывает свои персональные данные или данные своей компании и пользователь может увидеть, при клике на значок замка в адресной строке браузера, кому на самом деле принадлежит сайт.
SSL - это сокращение от Secure Socket Layer - стандартная технология безопасности в сети интернет, которая используется, чтобы обеспечить зашифрованное соединение между веб-сервером и посетителем сайта. А SSL сертификат - это цифровая подпись сайта, которая необходима для активации протокола защищенной передачи данных и как следствие безопасного соединения.
С помощью такого подключения к сайту на основе SSL сертификата обеспечивается шифрованное соединение между пользователем и сайтом. При этом вся информация, которой они обмениваются, защищена от посторонних и ни провайдер, ни оператор, ни администратор wifi-сети не смогут её расшифровать.
Также с помощью SSL сертификата подтверждается подлинность сайта и пользователь может проверить, какой компании на самом деле принадлежит сайт.
