RTFM.WIKI

Ordnung muß sein. Ordnung über alles (18+)

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: RTFM вики - база знаний про Linux/Windows/OSX, системное администрирование и прочее айти » Меню категории Linux » SSL, OpenSSL
linux:ssl

Содержание

SSL, OpenSSL

Обо всём и ни о чём

Уязвимости

Poodle

FREAK

LogJam

SHA1

GlobalSign

https://support.globalsign.com/customer/portal/articles/1290470-install-certificate---nginx

Your GlobalSign SSL Certificate

GlobalSign Intermediate Certificate

GlobalSign Root Certificate 

-----BEGIN CERTIFICATE-----
#Your GlobalSign SSL Certificate#
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
#GlobalSign Intermediate Certificate#
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
#GlobalSign Root Certificate#
-----END CERTIFICATE-----

SSL.com

HowTo

Как проверить, что SSL3 не используется на вашем сервере

$ openssl s_client -connect rtfm.wiki:443 -ssl3
CONNECTED(00000003)
23036:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/OpenSSL098/OpenSSL098-64/src/ssl/s3_pkt.c:1145:SSL alert number 40
23036:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/OpenSSL098/OpenSSL098-64/src/ssl/s3_pkt.c:566:

Если handshake failure, то всё ОК.

Проверить, что ключ соответствует сертификату

openssl x509 -noout -modulus -in cert.crt | openssl md5
openssl rsa -noout -modulus -in cert.key | openssl md5

Значения должны совпадать.

Как посмотреть какой используется сертификат SHA1 или SHA2

openssl s_client -connect www.yoursite.com:443 < /dev/null 2> /dev/null | openssl x509 -text -in /dev/stdin | grep "Signature Algorithm"

Comodo RapidSSL

SSL чекер от Comodo выдает сообщение Trusted by Mozilla? "No (unable to get local issuer certificate)". Скорее всего неправильный порядок сертификатов в цепочке.

Bundle делаем так 

cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt >> bundle.crt

Пример для Apache

https://www.namecheap.com/support/knowledgebase/article.aspx/9423/0/installing-a-ssl-certificate-on-apache

comodo 

Root CA Certificate - AddTrustExternalCARoot.crt
Intermediate CA Certificate - COMODORSAAddTrustCA.crt
Intermediate CA Certificate - COMODORSADomainValidationSecureServerCA.crt
Your PositiveSSL Certificate - www_example_com.crt (or the subdomain you gave them)

cat www_example_com.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt

VerySign

Обсуждение

Ваш комментарий. Вики-синтаксис разрешён:
 
linux/ssl.txt · Последнее изменение: 2017/12/15 12:58 — 127.0.0.1
Сделано в 🇷🇺 / Размещено в NQhost / Работает на DokuWiki
ipv6 ready CC BY NC ND