SSL/TLS 部署最佳实践 v1.3_教育指南_百度教育攻略 -学路网-学习路上 有我相伴
SSL/TLS 部署最佳实践 v1.3_教育指南_百度教育攻略
来源：互联网 &责任编辑：王小亮 &时间: 16:14:51
ERROR1364(HY000):Field'ssl_cipher'doesn't...问：新建mysql用户时提示这个错误。怎么办？答：解决办法：打开my.ini，查找sql-mode="STRICT_TRANS_TABLES,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION"修改为sql-mode="NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION"然后重启MYSQL打开有些网站显示403ForbiddenYoudon''thavep...问：以前可以正常打开的网站，现在电脑打不开了。。。。一打开就显示。。。...答：打开有些网站显示403ForbiddenYoudon''thavepermissiontoaccesson...403.4禁止:需要SSL此错误表明试图访问的网页受安全套接字层(SSL)的保护。...SSL/TLS部署最佳实践v1.3_教育指南_百度教育攻略(图2)SSL/TLS部署最佳实践v1.3_教育指南_百度教育攻略(图5)SSL/TLS部署最佳实践v1.3_教育指南_百度教育攻略(图8)SSL/TLS部署最佳实践v1.3_教育指南_百度教育攻略(图10)SSL/TLS部署最佳实践v1.3_教育指南_百度教育攻略(图14)SSL/TLS部署最佳实践v1.3_教育指南_百度教育攻略(图16)
抽象：SSL/TLS是一个看似简单的技术。非常容易部署和让她跑起来，但是…她真的跑起来了吗。第一部分是真的—SSL很容易部署—但是她并不是那么容易正确的部署。为了保证SSL提供安全性，用户必须投入额外的精力去配置她。今天做javamail遇到如下问题，有哪位大婶帮忙解决下问：org.springframework.mail.MailSendException:Mailserverconnection...答：nestedexceptionisjavax.mail.MessagingException:Can'tsendcommandtoSMTPnestedexceptionis:javax.防抓取，学路网提供内容。2009年，我们在SSL Labs( /)开始了相关工作，因为我 们想明白SSL到底是在怎么样被使用，我们也打算弥补SSL缺乏易用的工具和文档的局面。我们进行了对SSL使用情况的完整调查，以及实现了在线检测工具，但文档的缺乏依然存在。这份文档是解决文档问题的第一步。精彩内容，尽在百度攻略：windows安装openvpn。制作证书时提示WARNING:can...答：1.不用理会那个。2.在制作客户端证时在输入参数时，CommonName不要与生成其他证书时相同，否则会出错.防抓取，学路网提供内容。我们的目标是让已经不堪负重的系统管理员和程序员尽可能花费少量时间就能完成安全站点的部署，正是因为我们的目的如此，所以这份文档可能不够完备，因为只提供简单实用容易理解的建议。对于那些想了解更多信息的读者，可以看看Section 6。在配置TOMCAT+SSL的时候，报如下错误：java.io.IOE...问：4:09:55org.apache.coyote.http11.Http11AprProtocolinit...答：看看配置Key文件的地方的路径，是不是了解上面有些问题。还有这个tomcat是在Linux下还是windows下的？防抓取，学路网提供内容。1. 私钥和证书dovecot启动时显示ssl_cert_file:Can'tuse/et...问：dovecot启动时显示ssl_cert_file:Can'tuse/etc/ssl/certs/dovecot..防抓取，学路网提供内容。SSL提供的安全质量完全依赖于私钥，私钥是安全证书的基础，而安全证书则是验证服务器身份的重要因素。精彩内容，尽在百度攻略：windows安装openvpn。制作证书时提示WARNING:can...问：请问如果解决的，谢谢！答：正常的！不用管。继续制作！防抓取，学路网提供内容。1.1 使用2048位的私钥c#中this.tssllocation.text什么意思答：this表示当前，tssllocation是你的控件名称。Text是指该控件显示出来的文本。防抓取，学路网提供内容。在你的所有服务器上使用2048位的RSA或者等价强度的ECDSA私钥。密钥的长度能保证在一定时间能的安全，如果你已经使用1024位的RSA，尽量替换它们。如果你的需求必须使用大于2048位的密钥，请考虑ECDSA，因为性能不错。什么是SSL加密,什么是TLS加密为数据通讯提供安全支持。SSL协议可分为两层:SSL记录协议(SSLRecordProtocol):...TLS记录协议(TLSRecord)和TLS&握手协议(TLSHandshake)。TLS的最大优势...防抓取，学路网提供内容。1.2 保护私钥精彩内容，尽在百度攻略：如何将POP3配置为使用TLS或SSL-startuptypeautomatic然后通过下面的命令启动POP3服务:Start-service-servicemsExchangePOP3接下面我们就会防抓取，学路网提供内容。私钥是重要的财产，尽可能限制能接触到私钥的人。推荐策略包括：filezillaserver搭建后ssl/tlsftp后wireshark还能捕捉密码吗FileZillaClient,FileZillaServer是没有中文版的,不过都是常见的英文,也不复杂。二防抓取，学路网提供内容。* 在一台可信的计算机(Shawn注:加固过的物理机器)上生成私钥和CSR( Certificate Signing Requests)。有一些CA会为你生成密钥和CSR，但这样做 明显不妥。SSL2.0,TLS1.0什么什么的,这种选择有什么影响吗当然,你也指定使用哪种版本的协议。先有SSL1.0,然后是2.0,3.0,再往后就是TLS1.0(名称变化了),TLS1.1,TLS1.2现在防抓取，学路网提供内容。* 受密码保护的密钥可以阻止在备份系统中被截获精彩内容，尽在百度攻略：如何打开ssl协议和tls协议通过部署SSL数字证书就可以打开--沃通CA机构做数字认证证书领域的领跑者,防抓取，学路网提供内容。* 在发现被”日”后，撤回老的证书，生成新的密钥和证书。SQL报表错误"未能为SSL/TLS安全通道建立信任关系"解决方法打开任何报表,都会提示:未能为SSL/TLS安全通道建立信任关系。问题原因:SQL报表配置文件中,设置了SSL认证。解决方法:1.删除防抓取，学路网提供内容。* 每年更新证书，总是使用最新的私钥。SQL报表错误"未能为SSL/TLS安全通道建立信任关系"解决方法&打开任何报表,都会提示:未能为SSL/TLS安全通道建立信任关系。问题原因:SQL报表配置文件中,设置了SSL认证。解决方防抓取，学路网提供内容。1.3 确保覆盖到所有的主机名精彩内容，尽在百度攻略：SQL报表错误"未能为SSL/TLS安全通道建立信任关系"解决方法打开任何报表,都会提示:未能为SSL/TLS安全通道建立信任关系。问题原因:SQL报表配置文件中,设置了SSL认证。解决方法:1.删除防抓取，学路网提供内容。确保你的证书覆盖到你希望被访问的站点。比如你的主站是，但你可能还有个www.example.net。你的目标就是避免无效证书警告，因为那会让你的用户产生疑惑从而影响对你的信任。SSL/TLS安全通道无法建立可信任的联系怎么解决请问你是部署遇到问题了么,还是访问HTTPS网站遇到问题,你可到签发机构沃通CA网咨询下。防抓取，学路网提供内容。即使你的服务器只有一个主机名配置，也要记得你不能控制用户是通过什么路径访问你的站点的，可能是其他的链接过来的。大部分情况下，你应该保证证书能在没有www前缀的情况下工作(比如，，)。所以这里原则就是：一个安全的WEB服务器应该有一个对所有DNS名称解析正常的证书配置。防抓取，学路网提供内容。通配符证书( WIldcard certificates)有他们的应用场景，但应该避免使用，因 为使用的话意味着暴露给很多人。换句话说，越少的人能访问私钥越好。精彩内容，尽在百度攻略：转载一个网友的宝骏7302016款质量严重有问题本人是受害者本人号安徽省枞阳县新源汽车销售有限公司购买一辆家用汽车（宝骏在73016款手动豪华版）中间保养都是在该公司规定时间规定公里数内保养的该车行驶4个月（11000公里）时，在高速上行驶有异常感觉停车检查发动机系统出现故障，本人发现故障后及时去该公司进行了检修，中间连续检修了4次，仍然没有解决问题，经安庆市上海通用五菱售后服务防抓取，学路网提供内容。1.4 从靠谱的CA那里获得证书妹子，与其他满脸淫相的死肥宅不一样，我在这里很认真的回答你的问题。先不讨论跟一个足球狗谈恋爱到底有什么乐趣之类的。你既然要送他礼物，肯定是要跟足球有关的。那我们来分类讨论一下。一、最直接的，送足球既然防抓取，学路网提供内容。选择一个对待安全比较认真的可靠CA( Certificate Authority)，在选择CA过程 中可以考虑以下因素：中国人民银行发行过3元的人民币过只是楼主没有，呵呵，小编我也没有。并且现在3元的人民币值3万元！小编在瞎说吗？还是小编疯了？宝宝们小编我没有疯，这次确实说的是中国人民银行出的3元面值RMB三元人民币三防抓取，学路网提供内容。* 对待安全的态度精彩内容，尽在百度攻略：你感到尴尬，这就对了，或者说，《十三邀》出品人和导演的目的就达到了。《十三邀》是一档由腾讯新闻和单向空间联合出品的访谈节目，它的出品人是腾讯网副总编李伦。李伦是谁？电视新闻圈中鼎鼎有名的人物，曾在央视防抓取，学路网提供内容。大多的CA都会有常规的安全审计，但是一些会更在意安全一些。搞清楚哪些对 待安全的态度不是一件容易的事情，但一个简单的做法是看看他们在安全方面 的历史状况，他们如何应急被“日”以及如何从错误中学习。谢邀，这其实是个特别有意思的问题，有趣的想象空间特别大。认真的回答，我想养一匹马！这个不太切实际的想象其实早就有，那年看斯皮尔伯格的电影《战马》又被加强了。那匹脾气相当狂躁叫“乔伊”的小马驹，以奔跑的防抓取，学路网提供内容。* 实际的市场占有率上联：秦汉，下联：宋元。上联出的好，言简意深。我对下联为宋元，说明如下：一、上联的秦汉：一是指中国历史上的重要时期，即①指秦朝与汉朝之间的西楚王朝时期，即公元前206年四月―公元前202年十二月；②秦防抓取，学路网提供内容。* 业务重心精彩内容，尽在百度攻略：谢邀:这个问题其实很简单，你自己拿起手机拔打电话就知道你的手机号码卡每分钟多少钱。别人每分钟电话费跟你没关系，因为套餐不同打电话收费也不同，况且还有很多双向收费的老用户(比如有一毛三，一毛，一毛九，三防抓取，学路网提供内容。* 提供哪些服务怎么能说冤呢？她一点都不冤......打人似乎是不对，但是你挨打也是自找的啊......1、你出门没给狗栓牵引绳，从一开始就是不对的，而且造成了后续的一连串事情......2、小孩的家长踢你的狗，也没防抓取，学路网提供内容。在最底线的情况，你选择的CA至少应该提供CRL( Certificate List)和OCSP( Online Certificate Status Protocol)撤回机制以及对于OCSP服务的性能。 CA至少提供域名验证和扩展证书验证功能，最理想的情况可以让你自己选择公 钥算法，今天大多站点都使用RSA，但在未来ECDSA的性能优势可能会变得重要。那些年年4月份就去钓鱼??的竟然嘲笑人家6月份还在工作（打球），就像有些人得不到提拔嘲笑人家工作拼命，我就奇怪，考试不及格的竟然有脸嘲笑人家又考了第二名。我们国家就是有这种歪风邪气，认为第一名才是成功，第二名都是失败，那满世界都是loser！NBA是篮球的最高殿堂，就像有些人考上了清华北大，在高手如云的清北连续7年都是第二，这样都是你们眼中的失败？？防抓取，学路网提供内容。* 证书管理选项精彩内容，尽在百度攻略：说实话，迷死氧很多时候，对女明星的真实肤色是懵圈的。说她们很白吧，那卸了妆的样子，像从非洲来的。说她们很黑吧，上妆后的动态，脸、脖子，甚至是手心的细纹，都白到发光。这是什么原因，看到少女时代的tifn防抓取，学路网提供内容。如果你的运维环境是需要233没错。这一次为了找到事情的答案，小编又穿越了。时间回到了那个赛季的赛场。小编竟然附身到了，马刺的主教波波维奇的身上。要知道，波波在联盟可是具有相当的地位的。什么裁判的面子也不给。我就那么愣愣的坐防抓取，学路网提供内容。* 技术支持选择一个技术支持不错的CA提供商精彩内容，尽在百度攻略：在偌大的娱乐圈中，长相貌美但文化水平低的女明星不在少数。虽然说文化不够，颜值来凑，但不分场合不分地点的暴露你语文水平就是不对了。比如谢娜自己写了晒出来的。字写的不错，但歧视的“歧”都不会写，写成岐字。防抓取，学路网提供内容。2. 配置正确的SSL服务器配置才能保证站点的访问者会信任你。小宝宝到底要不要穿袜子，这个主要还是要看具体的天气情况和宝宝平时的日常习惯。1、妈妈们要考虑环境因素天热时不穿，变凉了穿；在家时不穿，出门时穿；白天不穿，晚上空调房睡觉时穿；也有妈妈选择给宝宝白天穿袜防抓取，学路网提供内容。2.1 部署有效的证书链精彩内容，尽在百度攻略：腿不长，可以用高跟浅口鞋来拉长比例，一样，体重重，可以依靠服饰来掩盖真相。也许因为敌手（美食）太强大，致使瘦身旅途难题重重，若翻不过这座大山，那咱们就谋求捷径。1海军领条纹针织衫“横条纹易显胖，竖条纹防抓取，学路网提供内容。在很多部署场景中，单一的服务器证书显得不足，而多个证书则需要建立一个信任链。一个常见的问题是正确的配置了服务器证书但却搞忘了包含其他所需要的证书。此外，虽然其他证书通常有很长的有效期，但她们也会过期，如果她们过期就会影响整个链条。你的CA应该提供所有额外需要的证书。8月30日，金星发文宣布《金星秀》将停播。在今年上半年的时候，《金星秀》曾停止更新，当时还传闻是金星因为嘴太毒被封杀，但是20天后便照常开播，“封杀”之说便烟消云散。而这次停播，很多网友爆料都是因为电视台节目调整，可能会面临永久停播。目前官方还没给出明确消息。金星发微博暗示《金星秀》遭停播《金星秀》被勒令停播8月30日深夜11点01分，金星莫名其妙地更新微博，她写的内容是：亲爱的观众朋友们：谢谢你防抓取，学路网提供内容。一个无效证书链会导致服务器证书失效和客户端浏览器报警告，这个问题有时候不是那么容易被检测到，因为有些浏览器可以自己重构一个完整的信任链而有些则不行。62年1角属于第三套人民币里面的。目前收藏价值也不错，但具体价格要看品相以及冠号、水印等因素的。从你发的图片来看，你这张一角的品相属于中品，而从背面的颜色来看，也属于三版一角里的普通品种。目前公认比较防抓取，学路网提供内容。2.2 使用安全的协议精彩内容，尽在百度攻略：08年的帕萨特就要慎重考虑了！接近十年的德系车正是故障集中爆发的时期。08年的帕萨特1.8T最新的应该也是2007款了，07款1.8T只有手动挡的车型，变速箱的问题应该不大，发动机就比较老了，出问题的防抓取，学路网提供内容。在SSL/TLS家族中有5种协议：S SLv2, SSL v3, TLS v1.0, TLS v1.1, TLS v1.2。 ( Shawn注: TLS v1.3还在draft阶段)从现在的经济情况来说，进口汽车的进口率和需求量与日俱增，中规车、中东车、还有要说的美规，真是傻傻分不清楚，那这些国外版本的车到底是什么概念，又有什么区别呢，今天就给大家揭晓。中规车相对美规车来说，按照防抓取，学路网提供内容。* SSL v2不安全，坚决不能用。( Shawn注: OpenSSL和GnuTLS当前的版本 ()不支持SSL v2)谢邀，别克-威朗2016款两厢GS20T双离合纵情运动型，上牌时间为2016年。仅形式6千公里，准新车，新车落地价22万，车主为了筹集资金，一口价准备15万出手，性价比非常高。别克-威朗属于紧凑型车，防抓取，学路网提供内容。* SSL v3老而且过时，她缺乏一些密钥特性，你不应该使用她除非有特别好的理 由。( Shawn注: POODLE漏洞的出现彻底的废掉了SSLv3，之前很多地方支持 SSLv3的原因是兼容性问题，GnuTLS 3.4中将默认不支持SSLv3)精彩内容，尽在百度攻略：终于等到《乡村爱情》10正式开机了，可以说，这是一部最长寿的电视系列剧，剧中的演员伴随着电视剧的成长而被观众接受和喜爱，特别是像赵四，刘能，谢大脚，谢广坤等角色已深入人心，给剧情增加了更多的笑料和看点。前一段刘小光风波闹的沸沸扬扬，也让刘小光颜面扫地，令赵家班班主赵本山大为恼火，赵本山曾放出狠话：不想干，就别干了，可见赵本山真的生气了。如今《乡村爱情》10开机，有人说赵四一角另有其人，不知是真是假防抓取，学路网提供内容。* TLS v1.0在很大程度上是安全的，至少没有曝光重大的安全漏洞。要改变老人很难，身边因为老人帮忙带孩子带出问题来的一堆，这些问题还不仅仅局限在老人和年轻人之间的不同的价值观，更重要的是对孩子的影响。要想让孩子少沾染老人的“坏毛病”（有时候可能也不一定是坏毛病，只是防抓取，学路网提供内容。* TLS v1.1和TLS v1.2没有著名的安全漏洞曝光。( Shawn注: 由于Edward Snowden曝光的内容有关于NSA“今天记录，明天解密”的故事，所以大量的自由 软件社区和暗网使者们在过去1年中转向了TLS v1.2的PFS)溺爱是公认的一种有害的教养方式，对孩子性格养成很大的不利影响。第一，被溺爱的孩子不守规则，因为被父母或者爷爷奶奶，捧在手心里长大，做错了事，没有批评更没有惩罚，孩子会养成不守规则的习惯。第二，被溺爱的孩子，唯我独尊，不尊重他人的感受。第三，被溺爱的孩子没有感恩之心，对别人的付出视而不见，只看到自己的利益。这种孩子长大之后，通常为人自私，与他人不合群，同时因为不守规则，做事不考虑后果，容易触犯一些公防抓取，学路网提供内容。TLS v1.2应该成为你的主要协议。这个版本有巨大的优势是因为她有前面的版本 没有的特性。如果你的服务器平台不支持TLS v1.2，做个升级计划吧。如果你的 服务提供商不支持TLS v1.2，要求他们升级。精彩内容，尽在百度攻略：逼农民买高价商品房！事实如此清晰，一看就懂！一天到晚，挖空心思整农民！米二十年前1.5元一斤！房价一千至一千五一平！现在米2.8元一斤，房价一万左右(南通房价)压粮价！抬房价！高房价没人接，逼农民接盘！是哪个畜牲搜肠刮肚出的主意？不让自家宅基地翻建的？站出来！口水淹不死你？防抓取，学路网提供内容。对于那些老的客户端，你还是需要继续支持TLS v1.0和TLS v1.1。对于临时的解 决方案，这些协议对于大多WEB站点依然被认为是安全。喝蜂蜜水要放弃两个“第一”如果我们清晨空腹第一杯就饮用蜂蜜水，这种做法是不适宜的。原因是蜂蜜水中含有相应的糖分，不是以单纯水的形式存在，饮用后，在体内蜜中的果糖要经过人体代谢转化为葡萄糖才能被人体所吸防抓取，学路网提供内容。2.3 使用安全的Ciphersuites( Shawn注：真TM不知道该怎么翻这个词，意思是一堆密码套装，包括密钥交换，加密算法，HMAC等的组合)公交头等舱内景小编从北达公司229路公交车队了解到，该车队上线运营了空调燃气车，五星级驾驶员宋旭江：看到飞机和高铁车厢内有头等舱服务，他就想在自己驾驶的公交车上为那些老、弱、病、残、孕及抱小孩的乘客设防抓取，学路网提供内容。要安全的通信，首先得保证你是在和你想要通信的对端在通信。在SSL/TLS里，ciphersuites是定义你如何安全通信的。她们由一堆多样化的组件组成。如果其中一个组件被发现是不安全的，你应该切换刀其他的ciphersuites上。精彩内容，尽在百度攻略：第一家是川西大宅门火锅，它在人民公园的西边，现在好像店里面还有一个活动就是在里面消费了之后会赠送流量。火锅店总的来说有一个最大的优点就是性价比比较高，五人餐也只要一百六十左右，最推荐的几个菜品就是四川麻辣牛肉，川西特色毛肚和土豆另外他们的特色鸳鸯锅口味也是很不错的。第二个是秦宝肥牛世界，我们当时在里面花了一百三十八吃了一个秦宝肥牛世界夏季劲爽四人餐，分量很足，味道也不错，我们四个人还剩了挺多的。而防抓取，学路网提供内容。你的目标应该是仅使用提供认证和128位加密或者更强的ciphersuites，其他都应该被排除掉：人食肉的天性，也是基于人类进化过程中的一个过程。但是人食肉，不是说的就是\"狗肉\"。现在一个人与自然的角度来看待，爱狗爱宠物的问题的话，这一个行为不反对，也不支持。因为人类的进化和发展到这样的一步，防抓取，学路网提供内容。* Anonymous Diffie-Hellman( ADH)套装不提供认证 * NULL ciphersuites不提供加密 * 出口密钥交换套装( Export key exchange suites)使用容易被”日“的认证 * 使用强度不够的ciphersuites(比如40或者56位的加密强度)也容易被”日“ * RC4比之前想象的要弱，你应该去除掉，或者计划在未来去掉 * 3DES仅提供108位的安全(或者112位，看具体情况)，这也低于推荐的最低128位。你应该在未来去除她。这件事有蹊跷，农民在庄稼地里拔了珍稀植物，庄稼地是谁的？拔了几棵？为什么拔？他知不知道那是珍稀植物？相关部门怎么知道是他拔的？是举报的？蹲点抓获的？有人证物证？相关部门事先知不知道那是珍稀植物？如果事先知道做没做保护？反正新闻里没说清楚，一笔糊涂账防抓取，学路网提供内容。2.4 控制Ciphersuite选型精彩内容，尽在百度攻略：首先篮球各个位置不同，无法断定谁是最强，只能单方面判断哪个人在哪个位置是最好的。比如奥尼尔和艾弗森比较谁更强，这没法比的，那么在灌篮高手里论综合能力肯定是大河田最强，从1号位打到5号位，有防守有篮板有防抓取，学路网提供内容。在SSL v3和后来的版本里，客户端请求一个她支持的ciphersuites的列表，服务 器就从列表中选择一个去跟客户端做协商。不是所有的服务器都能很好处理这个过程，一些服务器会选择第一个请求列表中支持的ciphersuite，服务器选择正确的ciphersuites对于安全而言是极端重要的。2.5 支持Forward SecrecyForward Secrecy是一个协议特性，她能开启一个不依赖于服务器私钥的安全会话。 不支持Forward Secrecy的ciphersuites，如果攻击者记录了通信内容，那么她可 以在获得私钥后再解密出来( Shawn注: NSA就在干这件事情，所以看出PFS有多重要了吧)。你需要优先支持ECDHE套装，可以以DHE套装作为协商回退 （ fallback)的备选方案。精彩内容，尽在百度攻略：2.6 关闭客户端发起的重协商在SSL/TLS里，重协商允许一方停止交换数据而去重新协商一个安全会话。有一些场景需要服务器发起重协商的请求，但客户端并没有发起重协商请求的必要。此外，曾经出现过客户端发起重协商请求的拒绝服务攻击( Shawn注解: 每个重协商请求服务器的计算量是客户端的15倍)。2.7 降低已知漏洞风险精彩内容，尽在百度攻略：没有什么是完全安全的，很多防护方案都会随着时间推移成为安全问题。最佳实践是随时关注信息安全的世界在发生些什么然后采取必要的措施。最简单的是你应该尽快的打每一个补丁。下面的一些问题应该引起你的注意：* 关闭不安全的重协商精彩内容，尽在百度攻略：重协商特性在2009年时被发现是不安全的，协议需要更新。今天大部分厂商已 经修复，至少提供了一个临时方案。不安全的重协商很危险，因为她很容易被 利用。* 关闭TLS压缩2012年，CRIME攻击[6]向我们展示了TLS压缩所导致的信息泄漏可以被攻击者用于还原部分的敏感数据(比如session cookies)。只有几款客户端支持TLS压缩，所以即使关掉TLS压缩也不会影响刀用户体验。精彩内容，尽在百度攻略：* 降低HTTP压缩的信息泄漏风险2个CRIME的变种攻击在2013年被曝光，不像CRIME针对TLS压缩，TIME和BREACH漏洞是针对压缩过的HTTP的返回包里。HTTP压缩对于很多公司都很重要，这个问题不容易发现，降低风险的方案可能需要修改业务代码。对于TIME和BREACH攻击，只要攻击者有足够攻击你的理由，那影响等同于CSRF。精彩内容，尽在百度攻略：* 关闭RC4RC4 cihpersuites已经被认为是不安全而且应该关闭。目前，对于攻击者最好 的情况也需要百万次的请求，因此危害是比较低的，我们期待未来有改进的的 攻击手法。* 注意BEAST攻击精彩内容，尽在百度攻略：2011年曝光的BEAST攻击是2004年的一个针对TLS 1.0或者更早版本但当时被认 为很难被利用的一个漏洞…………..3. 性能这份文档中安全是主要关注的点，但我们也必须注意刀性能的问题。一个安全服务不能满足性能需求无疑会被遗弃掉。然而，因为SSL配置通常不会带来很大的性能开销，我们把讨论限定在常见的配置问题上。精彩内容，尽在百度攻略：3.1 不要使用强度过高的私钥在建立一条安全链接的密钥协商的过程当中最大的开销是由私钥大小决定的，使用密钥过短会不安全，使用密钥过长会的导致在一些场景无法忍受的性能下降。对于大多的WEB站点，使用超过2048位的密钥是浪费CPU和影响用户体验的。3.2 确保正确使用Session重用精彩内容，尽在百度攻略：Session重用是一种性能优化技术，让耗时的密码计算操作在一段时间里可重复使用。一个关闭或者没有Session重用机制的场景可能会导致严重性能下降。3.3 使用持久性链接(HTTP)今天的很多SSL过度开销并非来自CPU的密码计算操作，而是网络延迟。一个SSL握手是建立在TCP握手结束后，她需要更多的交换packet，为了让网络延迟最小化，你应该启用HTTP持久化( keep-alives)，她让你的用户能一个TCP链接上发多次 HTTP请求。精彩内容，尽在百度攻略：3.4 为公共资源开启缓存(HTTP)当开始使用SSL通信，浏览器会假设所有的流量都是敏感信息，也会把一些特定的资源缓存到内存里，但是一旦你关闭了浏览器，这些内容就丢失了。为了得到性能，为一些资源开启长期缓存，通过加入”Cache-Control: public”返回header给 浏览器标记为公共资源（比如图片）。4. 应用设计（HTTP）精彩内容，尽在百度攻略：HTTP协议和WEB相关平台在SSL诞生后仍然在不断的进化。进化的结果就是有一些今天包含的特性已经对加密不利。在这个Section里，我们会罗列出这些特性，也包括如何安全的使用她们。4.1 100%的加密你的网站事实上”加密是一个备选“的思想大概是今天最严重的安全问题之一。我们来看看 以下问题：精彩内容，尽在百度攻略：* 网站不需要SSL * 网站有SSL但不是强制性的使用 * 网站混合了SSL和非SSL的内容，有时候甚至在相同的网页上 * 网站编程错误导致SSL被”日“如果你知道你自己在做什么的话这些问题是可以有对抗方案的，最直接有效的方式是强制所有的内容加密。4.2 避免混合内容精彩内容，尽在百度攻略：混合内容的页面是使用SSL的前提下但有些内容（比如JavaScript文件，图片， CSS）是通过非SSL的方式传输的。这些页面不安全，比如中间人攻击可以劫持这些JavaScript的资源和用户session。就算你遵循了前面的建议加密了所有的内容，但也不排除来自第三方网站的资源是没有加密的。4.3 理解第三方站点网站通常会通过JavaScript代码来使用第三方的服务，Google Analytics是一个 应用广泛的例子。内含的第三方代码创建了一个隐式的信任链接让第三方可以完全控制你的网站。第三方本身可能并没有恶意，但他们很容易成为攻击者的目标。原因很简单，如果一个大型第三方提供商被”日“，那攻击者就可以利用这一路径去”日“她的使用者。精彩内容，尽在百度攻略：如果你采纳了Section 4.2的建议，至少你的第三方链接在加密后可以防止中间人 攻击。此外，你应该进一步去了解你的站点使用了哪些服务，搞明白其中的风险你是否愿意承担。4.4 安全Cookies ……………………………4.5 部署HSTS ……………………………精彩内容，尽在百度攻略：4.6 关闭敏感内容的缓存随着基于云的应用在增加，你必须得区分公开资源和敏感内容。………….4.7 确保没有其他漏洞精彩内容，尽在百度攻略：SSL不代表就安全，SSL的设计只是涉及安全的一个方面–通信过程中的保密性和完整性，但还有其他威胁你必须面对。5. Validation ………..参数调参和测试，也可以考虑使用在线工具： /ssltest/ ………..6. 高级议题精彩内容，尽在百度攻略：下面的这些议题超出了这份文档的范畴，她们需要对SSL/TLS和公钥架构(PKI)有更深的理解，这些议题依然是受到争议的。* Extended Validation证书EV证书在签发后进行离线检测是更靠谱的证书。EV证书更难伪造，提供了更好 的安全性。精彩内容，尽在百度攻略：* Public key pinningPublic key pinning的设计是为网站运维能限制哪些CA才可以为他们的网站签 发证书。这个特性是Google开发的，目前已经硬编码到了Chrome浏览器里面， 并且证明是有效的。2个proposals:1, Public Key Pinning Extension for HTTP: http:/ools.ietf.org/html/draft-ietf-websec-key-pinning精彩内容，尽在百度攻略：2, Trust Assertions for Certificate Keys http:/ack.io/draft.html* ECDSA私钥事实上所有的网站都依赖于RSA私钥。这个算法是WEB通信安全的基础。因为一些原因，我们正在从1024位转向2048位的RSA密钥。而增加密钥长度可能会带来性能问题。椭圆曲线密码学(ECC)使用了不同的数学，能在较小的密钥长度下有较强的安全性。RSA密钥可以被ECDSA替代，目前只有少数的CA支持ECDSA，但我们期待未来会有更多。精彩内容，尽在百度攻略：* OCSP StaplingOCSP Stapling是改版的OCSP协议，允许撤回绑定证书自身的信息，直接服务于服务器和浏览器。不用像OCSP必须远程验证失效的证书，这提升了性能改动这份文档的最初的版本是在日发布的。这个Section跟踪了文档修改的时间，从1.3开始。精彩内容，尽在百度攻略：Version 1.3 (17 September 2013) The following changes were made in this version: ? Recommend replacing 1024-bit certificates straight away. ? Recommend against supporting SSL v3. ? Remove the recommendation to use RC4 to mitigate the BEAST attack server-side. ? Recommend that RC4 is disabled. ? Recommend that 3DES is disabled in the near future. ? Warn about the CRIME attack variations (TIME and BREACH). ? Recommend supporting Forward Secrecy. ? Add discussion of ECDSA certificates.感谢为了有价值的反馈和起草这份文档，特别感谢Marsh Ray (PhoneFactor), Nasko Oskov (Google), Adrian F. Dimcev和Ryan Hurst(GlobalSign)。也感谢其他慷 慨的分享关于信息安全和密码学的人。这份文档虽然是我写的，但这些内容则来自整个安全社区。精彩内容，尽在百度攻略：关于SSL Labs ……………..关于Qualys …………….[1] On the Security of RC4 in TLS and WPA (Kenny Paterson et al.; 13 March 2013) http://www.isg.rhul.ac.ukls/精彩内容，尽在百度攻略：[2] Deploying Forward Secrecy (Qualys Security L 25 June 2013) /blogs/securitylabs//ssl-labs-deploying-forward-secrecy[3] Increasing DHE strength on Apache 2.4.x (Ivan Risti?’ 15 August 2013) /2013/08/increasing-dhe-strength-on-apache.html[4] TLS Renegotiation and Denial of Service Attacks (Qualys Security Labs Blog, October 2011) /blogs/securitylabs/ls-renegotiation-and-denial-of-service-attacks精彩内容，尽在百度攻略：[5] SSL and TLS Authentication Gap Vulnerability Discovered (Qualys Security Labs B November 2009) /blogs/securitylabs//ssl-and-tls-authentication-gap-vulnerability-discovered[6] CRIME: Information Leakage Attack against SSL/TLS (Qualys Security Labs B September 2012) /blogs/securitylabs//crime-information-leakage-attack-against-ssltls[7] Defending against the BREACH Attack (Qualys Security L 7 August 2013) /blogs/securitylabs//defending-against-the-breach-attack精彩内容，尽在百度攻略：[8] Mitigating the BEAST attack on TLS (Qualys Security Labs B October 2011) /blogs/securitylabs//mitigating-the-beast-attack-on-tls[9] Is BEAST Still a Threat? (Qualys Security L 10 September 2013) /blogs/securitylabs//is-beast-still-a-threat
python中的sslerror怎么解决答：python安装完毕后，提示找不到ssl模块：[root@localhost~]#python2.7.5Python2.7.5(default,Jun:43)[GCC4.1.(RedHat4.1.2-54)]onlinux2Type"help","copyright","credits"or"license"formoreinfo...看的懂路由器日志的来。问：看的懂路由器日志的来。0days,00:02:39,CE:-90000SSLerror:don'th...答：看的懂路由器日志的来。上面的意思是:SSL错误:没有足够的数据来完成任务。...0days,00:02:39,CE:-90000SSLerror:don'thaveenoughdatatocomplete...
与《》相关：