Método apropriado para gerar um certificado auto-assinado seguro

1

Eu tenho vários sites nos quais desejo instalar um certificado SSL autoassinado. Tentei seguir vários guias, como este (todos forneceram mais ou menos as mesmas instruções). As instruções dadas parecem estar desatualizadas em termos de segurança, no entanto. Eu serei o único usando SSL nos sites; as pessoas não saberão que o HTTPS está ativado, a menos que eles procurem por ele.

Por exemplo, o Chrome mostra esta informação para o meu site, enquanto esta informação é mostrada para ServerFault. Como faço para gerar um certificado SSL / TLS seguro usando os padrões atuais de criptografia? Caso seja importante, o servidor está executando o Ubuntu 14.10 Server e o Apache 2.4.

    
por vaindil 30.03.2015 / 17:33

1 resposta

3

Eu vejo duas coisas imediatamente erradas.

  1. Você tem um certificado para * .example.com, mas está acessando o site como link . Um certificado curinga não será aceito para um domínio pai. Acesse-o pelo link ou crie um novo certificado.
  2. Você está usando um hash SHA1 para o certificado. Isso é considerado ruim. A opção -sha256 no openssl deve corrigir isso. Veja um exemplo de conjunto de opções: openssl req -new -newkey -sha256 rsa:2048

Você também pode querer verificar suas configurações de SSL no Apache, especificamente quais algoritmos são permitidos. Desligue o SSLv2 / SSLv3 pelo menos. Se é só você, eu desligaria tudo menos que TLSv1.2 e selecionaria apenas cifras de alta qualidade.

Veja um exemplo retirado de uma página frequentemente citada ( \ para quebrar a string contínua):

SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128: \
   DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

Editar: De qualquer forma, o Chrome e o Firefox não reagirão bem aos certificados auto-assinados, a menos que você os configure (e / ou seu sistema operacional) para confiar especificamente na autoridade de certificação raiz que os assinou.

    
por 30.03.2015 / 17:44