В качестве предисловия я много искал, но не могу найти подходящие условия поиска.
Я создал CSR, используя следующую команду:
openssl req -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/ssl.key -out /etc/ssl/ssl.csr
С сгенерированным CSR я получил подписанный сертификат класса 2 через StartSSL.
Проблема в том, что когда я просматриваю информацию о сертификате в Chrome на своем сайте, он говорит, что безопасность сайта устарела.
Может быть, мне нужно изменить параметр Apache2 mod_ssl?
Или, если это проблема с сертификатом, какие параметры OpenSSL мне нужно использовать для создания актуального запроса CSR?
Заранее спасибо.
Сначала добавьте «-sha256» в команду CSR, чтобы убедиться, что вы используете SHA256 вместо менее безопасных хэш-дайджестов SHA1 или MD5 для вашего сертификата.
Во-вторых, убедитесь, что сам сервер настроен на использование только TLS или выше. Измените строки конфигурации SSL (в /etc/httpd/conf.d/ssl.conf, файлы вашего сайта или где-либо еще, где их хранит ваш дистрибутив), чтобы как минимум это ограничение:
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:!EXPORT:RC4+RSA:+HIGH:-MEDIUM:-LOW
Для получения дополнительной информации существует документ, в котором указаны минимально допустимые алгоритмы и основные сильные стороны CA / Форум браузеров, в Приложении A. Эта ссылка, вероятно, устареет по мере принятия новых стандартов, поэтому следите за их Документы с базовыми требованиями страницу обновлений.