Quais são as melhores opções para gerar um certificado SSL / csr seguro?

4

Para o prefácio, pesquisei muito, mas não consigo encontrar os termos de pesquisa corretos.

Eu geramos um CSR usando o seguinte comando:

openssl req -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/ssl.key -out /etc/ssl/ssl.csr

Com o CSR gerado, recebi um certificado assinado de classe 2 via StartSSL.

O problema é que quando vejo as informações do certificado no Chrome no meu site, a segurança do site está desatualizada.

Talvez exista uma configuração mod_ssl do Apache2 que eu precise alterar?

Ou se for um problema de certificação, que opções do OpenSSL eu preciso usar para gerar uma solicitação de CSR atualizada?

Obrigado antecipadamente.

    
por GeoStyx 17.12.2014 / 15:43

1 resposta

5

Primeiro, adicione "-sha256" ao seu comando CSR, para garantir que você esteja usando SHA256 em vez dos hashs SHA1 ou MD5 menos seguros do seu certificado.

Em segundo lugar, verifique se o servidor está configurado para usar apenas TLS ou superior. Altere as linhas de configuração de SSL (em /etc/httpd/conf.d/ssl.conf , os arquivos do seu site ou onde quer que sua distro esteja armazenando-as) para ser, no mínimo, restritivo:

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:!EXPORT:RC4+RSA:+HIGH:-MEDIUM:-LOW

Para mais informações, há um documento especificando os algoritmos e pontos strongs mais baixos aceitáveis no CA / Navegador Fórum , no Apêndice A. Esse link provavelmente se tornará desatualizado à medida que novos padrões forem adotados, portanto fique de olho em seus Documentos de requisitos de linha de base para atualizações.

    
por 17.12.2014 / 15:54

Tags