SSL сертификаты

Отключить SSLv3 на сервере

Протокол шифрования SSLv3 сильно себя скомпрометировал, точнее своих разработчиков. Теперь многие знают как его взломать и расшифровать перехваченные данные, поэтому теперь настоятельно рекомендуется отключать его использование, чтобы даже старые версии браузеров не соединялись с пользователем, используя SSLv3.

На разных серверах SSLv3 отключается по-разному:

APACHE

Для отключения SSLv3 на вашем сервере Apache вы можете сконфигурировать его используя следующее.

SSLProtocol All -SSLv2 -SSLv3

Этот даст вам поддержку TLSv1.0, TLSv1.1 и TLSv1.2, но явным образом уберёт поддержку SSLv2 и SSLv3. Проверьте конфигурацию и перезапустите Apache.

# apachectl configtest

# service apache2 restart

NGINX

Отключение поддержки SSLv3 на NginX действительно просто.

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Как и в конфигурации Apache выше, вы получите поддержку TLSv1.0+ и отсутствие SSL. Вы можете проверить конфигурацию и перезапустить.

# nginx -t

# service nginx restart

IIS

На этом сервере нужно редактировать регистр и перезапустить сервер.

У Microsoft есть статья с требуемой информацией, но всем вам нужно изменить/создать величину DWORD в регистре.

HKey_Local_MachineSystemCurrentControlSetControlSecurityProviders SCHANNELProtocols

Внутри протокола, весьма вероятно, уже есть ключ по SSL 2.0, следовательно создайте отдельный SSL 3.0 если нужно. Внутри этого создайте ключ сервера и внутри величину DWORD, названную Enabled со значением 0. Как сделаете это, перезапустите сервер и изменения вступят в силу.

Как установить SSL сертификат?

Чтобы установить SSL сертификат для сайта нужно выполнить несколько несложных шагов. Хотя когда делаешь это в первый раз, то кажется, что всё очень сложно.

По идее всё просто:
0. Генерируем сертификат на сервере
openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr
1. Заказать сертификат на сайте провайдера с помощью содержимого файла server.csr, скачать файл с сертификатом или скопировать его из почты, вид данных такой:
-----BEGIN CERTIFICATE-----
[encoded data]
------END CERTIFICATE-----
2. Скачать с сайта провайдера сертификаты Intermediate CA Certificate и ROOT CA Certificate.
3. Объединить эти 3 сертификата в один файл и сохранить с расширением .crt (сначала полученный на почту Server Certificate, затем Intermediate CA Certificate и в конце ROOT CA Certificate).
4. Сохранить ключ запроса сертификата в файл с расширением .key, его вид:
-----BEGIN PRIVATE KEY-----
[encoded data]
-----END PRIVATE KEY-----
***... проверить, что ссылки ssl_sertificate в apache.conf или nginx.conf ведут именно на эти файлы...***
5. Перезапустить веб сервер (service nginx restart | service apache2 restart | /etc/init.d/nginx restart или /etc/init.d/apache2 restart)

Проверить сертификат:
https://2ip.ru/ssl-info/

или открыть домен в браузере, но всё же надежнее тестером.

Если не работает, то проверить существование записей в файле-конфигурации веб сервера, которые указывают на сохранённые файлы
ssl on;
ssl_certificate /etc/ssl/your_SSL.crt;
ssl_certificate_key /etc/ssl/your_domain_name.key

SSL сертификат нужен, прежде всего, для установления шифрованного соединения между пользователем и сайтом. При этом вся информация, которой они обмениваются, защищена от посторонних и ни провайдер, ни оператор, ни администратор wifi-сети не смогут её расшифровать.

Второе, не менее важное назначение SSL сетрификата - это подтверждение подлинности сайта. Ведь при регистрации SSL сетрификата владелец сайта указывает свои персональные данные или данные своей компании и пользователь может увидеть, при клике на значок замка в адресной строке браузера, кому на самом деле принадлежит сайт.

SSL - это сокращение от Secure Socket Layer - стандартная технология безопасности в сети интернет, которая используется, чтобы обеспечить зашифрованное соединение между веб-сервером и посетителем сайта. А SSL сертификат - это цифровая подпись сайта, которая необходима для активации протокола защищенной передачи данных и как следствие безопасного соединения.

С помощью такого подключения к сайту на основе SSL сертификата обеспечивается шифрованное соединение между пользователем и сайтом. При этом вся информация, которой они обмениваются, защищена от посторонних и ни провайдер, ни оператор, ни администратор wifi-сети не смогут её расшифровать.

Также с помощью SSL сертификата подтверждается подлинность сайта и пользователь может проверить, какой компании на самом деле принадлежит сайт.