SSL

虽然 SSL 证书提供了防止数据盗窃或滥用的安全性，但你需要定期更新它以确保最有效的安全性以抵御最新的威胁。

更多：• 检查 SSL 证书的免费服务 SSLPing 宣布关闭 • AI 驱动的浏览器扩展可以帮你自动关掉 Cookie 弹窗

更多：• 波士顿动力的机器人从 DHL 获得 1500 万美元的工作机会 • Let’s Encrypt 错误签发数百万张证书

通过理解安全证书来保护你的 Linux 邮件服务。

你的浏览器里的锁的图标的后面是什么？

证书透明度是一个记录和监视证书签发的系统，有助于改进 CA 生态系统和 Web 安全，因此迅速成为关键的互联网基础设施。

了解如何验证某人所声称的身份。

Let’s Encrypt 是互联网安全研究组织 （ISRG） 提供的免费证书认证机构。它提供了一种轻松自动的方式来获取免费的 SSL/TLS 证书 - 这是在 Web 服务器上启用加密和 HTTPS 流量的必要步骤。获取和安装证书的大多数步骤可以通过使用名为 Certbot 的工具进行自动化。

在一开始的设计中，FTP（文件传输协议）就是不安全的，意味着它不会加密两台机器之间传输的数据以及用户的凭据。这使得数据和服务器安全面临很大威胁。

安装 FTP 服务器而不启用加密服务具有某些安全隐患。 正如我们在本教程中解释的，您可以在 Ubuntu 16.04 / 16.10 中配置 FTP 服务器使用 SSL / TLS 连接来实现安全性。

随着 Mozilla、苹果和谷歌对沃通和 StartCom 这两家 CA 公司处罚落定，很多使用这两家 CA 所签发证书的网站纷纷寻求新的证书签发商。有一个非盈利组织可以为大家提供了免费、可靠和安全的 SSL 证书服务，这就是 Let’s Encrypt 项目。现在，它需要您的帮助

在 Mozilla 宣布计划阶段性废弃 SHA-1 算法签名的证书一年后，SHA-1 的使用量得到了显著下降。据 Firefox 的数据看，使用量从去年的 50% 降至今年三月的 3.5%，而到这个月仅占到加密流量的 0.8%。

Mozilla 基金会正在考虑对沃通（WoSign）及被其秘密收购的 StartCom（著名的 StartSSL 即其旗下产品）这两个 CA 一年内新签发的所有 SSL 证书进行封杀。

由于服务器管理员没能正确设置 HTTP Strict Transport Security （HSTS），现今大量的 HTTPS 流量都能被轻松劫持。

本教程描述了如何在 ISPConfig3控制面板中更新 SSL 证书。有两个可选的方法： 用 OpenSSL 创建一个新的 OpenSSL 证书和 CSR。 用 ISPConfig updater 更新 SSL 证书 我将从用手工的方法更新 SSL 证书开始。 1）用 OpenSSL 创建一个新的 ISPConfig 3 SSL 证书 用 root 用户登录你的服务器。在创建一个新的 SSL 证书之前，先备份现有的。SSL 证书是安全敏感的，因此我将它存储在 /root/ 目录下。 tar pcfz /root/ispconfig_ssl_backup.tar.gz /usr/local/ispconfig/interface/ssl chmod 600 /root/ispconfig_ssl_backup.tar.gz 现在创建

根据 Let’s Encrypt 官方博客消息，Let’s Encrypt 服务将在下周（11 月 16 日）正式对外开放。 Let’s Encrypt 项目是由互联网安全研究小组（ISRG，Internet Security Research Group）主导并开发的一个新型数字证书认证机构（CA，Certificate Authority）。该项目旨在开发一个自由且开放的自动化 CA 套件，并向公众提供相关的证书免费签发服务以降低安全通讯的财务、技术和教育成本。在过去的一年中，互联网安全研究小组拟定了 ACME 协议草案，并首次实现了使用该协议的应用套件：服务端 Boulder 和客户端 letsencrypt。 至于为什么 Let’s

这是一篇快速指南，使用 OpenSSL 来生成 CA （证书授权中心 （certificate authority））、 中级 CA（intermediate CA）和末端证书（end certificate）。包括 OCSP、CRL 和 CA 颁发者（Issuer）信息、具体颁发和失效日期。 我们将设置我们自己的根 CA（root CA），然后使用根 CA 生成一个示例的中级 CA，并使用中级 CA 签发最终用户证书。 根 CA 为根 CA 创建一个目录，并进入： mkdir -p ~/SSLCA/root/ cd ~/SSLCA/root/ 生成根 CA 的 8192 位长的 RSA 密钥： openssl genrsa -out rootca.key 8192 输出类似如下： Generating RSA pri

假如你已经完全配好了你的 SSL：使用了强加密算法、禁用了废弃的协议，而且你提供了100% SHA-2的证书链。SSL Labs给了你一个 A+ 评分，shaaaaaaaaaaaaa.com也没发现你使用了 SHA-1。但是，有些情况下，当你访问你的网站时，Chrome 仍旧会在 URL 栏处显示一个红叉，并且说你的网站提供了 SHA-1 证书，是肯定不安全的（affirmatively insecure） 的： 这可能吗？不幸的是，有可能。你的服务器所发送的证书也许并不是你的浏览器所使用的。在迁移到 SHA-2 的过程中不应该是这样的，但是由于某些 CA 糟糕的做法和用户使用了老旧的软件，有时候

不出所料，这周谷歌正式宣布准备放弃支持流算法 RC4 和 SSLv3 协议，这二者都有悠久的被攻击历史。 该公司的一名安全工程师亚当.兰利周四在一篇博客中宣布了该计划。虽然没有一个具体的时间表，但是兰利坚称，谷歌会在适当的时段内在其所有的前端服务器、Chrome、Android、爬虫和 SMTP 服务器中放弃使用 RC4 和 SSLv3。 事实上，该公司宣布放弃RC4 和 SSLv3并不令人惊讶，国际互联网工程任务组（IETF）在今年夏天发布的一个互联网标准跟踪文档（Internet Standards Track document）中宣称了 SSLv3 的死亡，说它不够安全，而且说任何版本

本文向你介绍如何在 nginx 服务器上设置健壮的 SSL 安全机制。我们通过禁用 SSL 压缩来降低 CRIME 攻击威胁；禁用协议上存在安全缺陷的 SSLv3 及更低版本，并设置更健壮的加密套件（cipher suite）来尽可能启用前向安全性（Forward Secrecy）；此外，我们还启用了 HSTS 和 HPKP。这样我们就拥有了一个健壮而可经受考验的 SSL 配置，并可以在 Qually Labs 的 SSL 测试中得到 A 级评分。 如果不求甚解的话，可以从 https://cipherli.st 上找到 nginx 、Apache 和 Lighttpd 的安全设置，复制粘帖即可。 本教程在 Digital Ocean 的 VPS 上测试

今天我会讲述如何为你的个人网站或者博客安装SSL 证书，来保护你的访问者和网站之间通信的安全。 安全套接字层或称SSL，是一种加密网站和浏览器之间连接的标准安全技术。这确保服务器和浏览器之间传输的数据保持隐私和安全。它被成千上万的人使用来保护他们与客户的通信。要启用SSL链接，Web服务器需要安装SSL证书。 你可以创建你自己的SSL证书，但是这默认不会被浏览器所信任，要解决这个问题，你需要从受信任的证书机构（CA）处购买证书，我们会向你展示如何获取证书并在apache中安装。 生成一个证书签名请求 证书机构（CA）会要求你在

通过这个简短的教程，让我来指导你如何安装支持SSL的Apache。以下是我的试验机的详细说明: 系统信息 root@ubuntu-unixmen:~# ifconfig eth0 Link encap:Ethernet HWaddr 08:00:27:b8:b4:87 inet addr:10.1.1.110 Bca …