Criando certificado auto-assinado mais strong

1

Instalei o addon calomel no Firefox, que fornece informações sobre a qualidade de um certificado SSL. Eu criei um certificado auto-assinado, que marca ponto inteiro no PFS e na Cifra em Massa, mas não no resto. Como posso criar um certificado melhor no Debian?

    
por SPRBRN 10.03.2014 / 14:34

1 resposta

2

Você está confundindo as coisas. Existem dois problemas separados aqui:

  • Seu certificado foi feito usando uma chave de 1024 bits. Isso é facilmente corrigido: openssl genrsa -des3 -out privkey.pem 2048 cria uma chave de 2048 bits, o restante do procedimento permanece o mesmo.
  • A configuração de criptografia do seu servidor da Web está abaixo do padrão: é necessário mover as cifras com a troca de chaves da Elliptic-Curve DH para a frente de sua lista de criptografia preferida. Você deve enviar as cifras incluídas somente para compatibilidade com versões anteriores.

Minha configuração do Apache atualmente é assim:

SSLProtocol +TLSv1.2 +TLSv1.1 +TLSv1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA"

Isso dá uma nota completa no Qualys SSL Server Test .

Por favor note que o Apache 2.2 não suporta criptografia da Curva Elíptica.

    
por 10.03.2014 / 14:47