摘要： SSL/TLS是一个看似简单的技术。非常容易部署和让她跑起来，但是…她真的跑 起来了吗？第一部分是真的 —— SSL确实容易部署 —— 然而正确部属她并不容易。 为了确保TLS提供安全性，系统管理员和开发者必须投入额外的精力，去配置服务器和 编写应用程序。 2009年，我们在SSL Labs开始了相关工作，因为我 们想明白TLS到底是在怎么样被使用，我们也打算弥补TLS缺乏易用的工具和文档 的局面。我们进行了对全局TLS使用情况的完整调查，以及实现了在线检测工具，但文 档缺乏的问题依然存在。这份文档是解决这个问题过程中的一步。 我们的目标是让已经不堪负重的系统管理员和程序员尽可能花费少量时间就能完 成安全站点或Web应用的部署，正是因为我们的目的如此，所以这份文档可能不够完备，遗漏了 一些高级主题。因此，我们只提供简单实用容易理解的建议。 对于那些想了解更多信息的读者，可以看看 Section 6。 1. 私钥和证书 TLS提供的安全质量完全依赖于私钥和证书。私钥是安全的基础，而证书则用于向访问者表明 服务器的身份。 1.1 使用2048位的私钥 在你的所有服务器上使用2048位的RSA，或者等价强度的256位ECDSA私钥。密钥的强度能 保证在相当长时间内的安全，如果你已经使用1024位的RSA，尽快替换它们。如果你 的安全需求必须使用大于2048位的密钥，请考虑ECDSA，因为性能不错。不过ECDSA的缺点 是小部分客户端不支持，因此你有可能需要同时部署RSA和ECDSA以确保互操作性。 Lenx注：RSA 1024的强度相当于分组加密的80-96bit，已经被视为不安全。 1.2 保护私钥 私钥是重要的资产，尽可能限制能接触到私钥的人。推荐策略包括： 在一台可信的计算机(Shawn注:加固过的物理机器)上生成私钥和CSR( Certificate Signing Requests)。有一些CA会为你生成密钥和CSR，但这样做 明显不妥。 受密码保护的密钥可以防止从备份系统中泄漏。然而私钥密码在生产系统中使用的 帮助是有限的，因为这并不能阻止一个聪明的攻击者从进程内存中截获私钥。 一些硬件设备可以在服务器被攻陷的情况下确保私钥安全，但这些昂贵的设备 只在对安全有严格要求的机构中使用。 在发现系统被攻陷后，吊销老的证书，生成新的密钥和证书。 每年更新证书，同时更新私钥。 1.3 确保充分的域名覆盖 确保你的证书覆盖到目标站点的所有活跃域名。比如你的主站是www.trustauth.cn，但 你可能还有个www.trustauth.cn。你的目标就是避免无效证书警告，因为那会让你 的用户产生疑惑从而影响对你的信任。 即使你的服务器只有一个主机名配置，也要记得你不能控制用户是通过什么路径 访问你的站点的，可能是其他的链接过来的。大部分情况下，你应该保证证书能 在没有www前缀的情况下工作(比如，trustauth.cn和www.trustauth.cn)。这里经验法则 就是：一个安全的WEB服务器应该有一个对所有DNS名称解析都合法的证书配置。 通配符证书(Wildcard certificates)有它的适用场景。但如果这样的配置意味着 暴露私钥给不必要的人群（特别是在跨越部门边界的情形下），则应该避免使用。 换句话说，越少的人能访问私钥越好。此外，要意识到共享证书可能会导致安全漏洞 从一个站点扩散到所有使用相同证书的站点。 1.4 从靠谱的CA那里获得证书 选择一个对待安全业务认真可靠的CA( Certificate Authority)。在选择CA过程 中考虑以下因素： 对待安全的态度 大多的CA都会有常规的安全审计（否则根本没有资格当CA），但是其中一些会更重视 安全。搞清楚哪些更重视安全不是一件容易的事情，但一个可行的做法 是看看他们在安全方面的历史状况，他们如何响应攻击事件以及如何从错误中学习。 足够大的市场占有率 满足此因素的CA不太可能轻易撤销所有证书，而这种事情过去曾发生在小的CA身上。 业务重心 如果一家机构的核心业务是CA，那么一旦出现严重问题，他们将会受到严重影响。 因此这些CA不太可能因为追逐利润而忽视证书部门的重要性。 提供哪些服务 在最底线的情况，你选择的CA至少应该提供CRL( Certificate ... 更多

随着HTTPS的覆盖率越来越广，SSL证书的需求量也在上升。为了更加完善HTTPS加密协议的使用，2017年3月CA | B论坛（一个全球证书颁发机构和浏览器的技术论坛）发起了一项关于对域名强制检查CAA的一项提案的投票，获得187票支持，投票有效，提议通过。 提议通过后，将于2017年9月8日根据Mozilla的Gervase Markham提出的检查CAA记录作为基准要求来实施。 什么是DNS CAA？ 证书颁发机构授权（全称Certificate Authority Authorization，简称CAA）为改善PKI（Public Key Infrastructure：公钥基础设施）生态系统强度，减少证书意外错误发布的风险，通过DNS机制创建CAA资源记录，从而限定了特定域名颁发的证书和CA（证书颁发机构）之间的联系。 CAA是保护域名免受钓鱼的安全措施，网站运营商可以通过该措施来保护域名免于错误发布。在2013年由RFC 6844进行了标准化，允许CA“降低意外证书错误的风险”。默认情况下，每个公共CA都可以为公共DNS中的任何域名颁发证书，只要它们验证对该证书的控制域名。这意味着，如果在许多公共CA的验证过程中有任何一个错误，每个域名都可能受到影响。CAA为域名持有者提供了降低风险的途径。 而DNS Certification Authority Authorization（DNS证书颁发机构授权）是一项借助互联网的域名系统（DNS），使域持有人可以指定允许为其域签发证书的数字证书认证机构（CA）的技术。它会在 DNS 下发 IP 的同时，同时下发一条资源记录，标记该域名下使用的证书必须由某证书颁发机构颁发。 CAA记录格式 根据规范(RFC 6844)，CAA记录格式由以下元素组成： CAA <flags> <tag> <value> 名词解释： CAA：DNS资源记录类型 <flags>：认证机构限制标志 <tag>：证书属性标签 <value>：证书颁发机构、策略违规报告邮件地址等 <flags>定义为0~255无符号整型，取值： Issuer Critical Flag：0 1~7为保留标记 <tag>定义为US-ASCII和0~9，取值： CA授权任何类型的域名证书（Authorization Entry by Domain） : issue CA授权通配符域名证书（Authorization Entry by Wildcard Domain） : issuewild 指定CA可报告策略违规（Report incident by IODEF report） : iodef auth、path和policy为保留标签 <value>定义为八位字节序列的二进制编码字符串，一般填写格式为： [domain] [“;” * 参数] 设置CAA资源记录 需要当限制域名trustauth.cn及其子域名可由机构GlobalSign颁发不限类型的证书，同时也可由GDCA（trustauth.cn）颁发证书通配符，其他一律禁止，并且当违反配置规则时，发送通知邮件到trustauth@trustauth.cn。 配置如下（为便于理解，二进制值值已经过转码，下同）： trustauth.cn.  CAA 0 issue “globalsign.com” trustauth.cn.  CAA 0 issuewild ... 更多

TLS，是我们日常所说的SSL证书背后的协议，保护网站和浏览器之间的安全通讯以及身份验证。TLS 1.2在2008年已发行，是目前TLS所有版本中使用时间最长。由于TLS 1.2版本使用广发，深受用户的喜爱。但由于网络安全等级不断提升，是时候推出TLS 1.3。 去年一整年，TLS 1.3仍处于草案阶段。目前，草案二十二是最新版本的TLS。换句话说，目前TLS 1.3仍在修改之中。 为什么花费这么长时间？ 第一版的TLS 1.3发布于2014年4月17日，到目前的第二十二版本。这个草案版本不断由Google，Cloudflare，Mozilla等供应商进行测试和评估。他们所做的是推出TLS 1.3支持，对其进行测试，并在发现问题时进行报告。直到2017年2月，因为一个代理问题迫使谷歌退出TLS 1.3的支持。这种问题出现，让人担任。因此TLS 1.3的正式版本推出时间需要继续等待。 TLS 1.2与TLS 1.3 – 有什么区别？ 在网络安全协议中，TLS处于出比较重要的位置，因此用户十分期待TLS1.3的推出。具体原因是： TLS 1.3更快 在HTTPS链接中，当浏览器与WEB服务器发生链接时，它们就会执行SSL / TLS握手以进行身份验证以及对传输信息进行加密。在目前的TLS1.2中，双方需要两次往返才能完成握手。而在TLS 1.3中，需要一次的往返就可以完成，连接的速度更加快速。当然，这里的时间单位为毫秒，因此这对于终端用户来并不有所发觉，但这对于专业人来说，是十分重要。 另一个使TLS 1.3更快的特性是“零往返时间恢复”（0-RTT）。此功能加快了终端用户最近访问网站的网络链接。在移动网络上，这种速度体验变化将会更加明显。 TLS 1.3显然更安全 随着时间的推移，很多安全协议都失去当初的防御能力，TLS 1.2也一样。曾经TLS 1.2一度被认为是完全是安全的，但目前似乎逐渐在减弱（当然，现在仍是安全的协议）。这主要取决于旧的、不安全协议、密码以及算法。TLS 1.3通过对过时的密码算法支持，来消除这些安全风险。主要包括以下几点： RC4加密算法 RSA密钥传输 SHA-1哈希函数 CBC模式密码 MD5算法 各种Diffie-Hellman组 EXPORT加密算法 DES 3DES TLS 1.3何时发布? 虽然目前TLS 1.3似乎已经进入最后的阶段，但也许还需要继续研究探讨，因此TLS 1.3发布的时间仍旧没有一个明确的时间段。 在TLS 1.3发布前，服务器终端用户必须对TLS 1.3和SSL / TLS行业发生的所有变化进行最新的了解，并且做出计划更新。

安全套接字层 (SSL)（现在技术上称为传输层安全协议 (TLS)）是一个通用构建块，用于在客户端与服务器之间进行加密通信。应用很可能以错误的方式使用 SSL，从而导致恶意实体能够拦截网络上的应用数据。为了帮助您确保您的应用不会出现这种情况，本文重点介绍了使用安全网络协议的常见陷阱，并解决对使用公钥基础结构 (PKI) 关注较多的问题。 1、概念 在典型的 SSL 使用场景中，会使用一个包含公钥及与其匹配的私钥的证书配置服务器。作为 SSL 客户端与服务器握手的一部分，服务器将通过使用公钥加密签署其证书来证明自己具有私钥。 不过，任何人都可以生成他们自己的证书和私钥，因此，一个简单的握手只能说明服务器知道与证书公钥匹配的私钥，除此之外什么都证明不了。解决此问题的一个方法是让客户端拥有其信任的一个或多个证书集。如果证书不在此集合中，则不会信任服务器。 但这个简单的方法有几个缺点。服务器应能够随时间的推移升级到更强的密钥（“密钥旋转”），使用新的公钥替换证书中的公钥。遗憾的是，客户端应用现在必须根据服务器配置发生的变化进行更新。如果服务器不在应用开发者的控制下（例如，如果服务器是一个第三方网络服务），则很容易出现问题。如果应用必须与网络浏览器或电子邮件应用等任意服务器通信，那么，此方法也会带来问题。 为弥补这些缺点，通常使用来自知名颁发者（称为证书颁发机构 (CA)）发放的证书配置服务器。主机平台一般包含其信任的知名 CA 的列表。从 Android 4.2 (Jelly Bean) 开始，Android 目前包含在每个版本中更新的 100 多个 CA。CA 具有一个证书和一个私钥，这点与服务器相似。为服务器发放证书时，CA 使用其私钥签署服务器证书。然后，客户端可以验证该服务器是否具有平台已知的 CA 发放的证书。 不过，在解决一些问题的同时，使用 CA 也会引发其他问题。因为 CA 为许多服务器发放证书，因此，您仍需要某种方式来确保您与您需要的服务器通信。为解决这个问题，CA 发放的证书通过 gmail.com 等具体名称或 .trustauth.cn 等通配型主机集识别服务器。 以下示例会让这些概念更具体。下面的代码段来自命令行，openssl工具的 s_client命令将查看 Wikipedia 的服务器证书信息。它指定端口 443，因为此端口是 HTTPS的默认端口。此命令将 openssl s_client的输出发送到 openssl x509，后者将根据 X.509 标准格式化与证书有关的信息。具体而言，此命令会要求相关主题，主题包含服务器名称信息和可识别 CA 的颁发者。 <code> $ openssl s_client ... 更多

代码签名证书是保护软件代码的完整性，免受第三方的修改以及损坏。随着代码证书的大量使用，越来越多的操作系统通过代码签名证书保护软件代码安全，帮助使用识别软件发行商的身份，获取安全的软件代码。 与HTTPS证书（SSL证书）一样，代码签名证书也是由数字证书颁发机构（CA）对企业或者个人身份核实无误后颁发，然后签署到软件代码被主要的操作系统识别其代码是安全、完整的。 代码签名证书最重要的部分之一是时间戳，即使证书到期后，软件和用户也可以识别有效的代码签名证书。 当软件因为过期的代码签证书而失效时，不仅对用户带来极大的不便，也会对发行商带来严重的影响。因此软件发行者在代码签名过程做好记录，且用软件的时间戳来保留签名。 时间戳不仅是软件持续可用性的最佳实践，它还有良好的安全优势。如当出现密钥泄露而需撤销证书，在撤销日期之前，签署的文件可持续运行。 下面介绍时间戳的背景和遵循的最佳实践，确保开发者不会遇到软件签名意外问题。 什么是时间戳？ 时间戳会一直留在软件上的签名，在代码签名证书过期后，保证软件仍旧被操作系统或其他平台兼容，并能正常运行。当签名被检验时，时间戳会允许系统检查签名的有效性，而不是签名时间，或软件运行的当前时间。 如果没有时间戳，签名就会根据当前日期进行检测。如果开发者的软件时几年前分发的，当其代码签名证书过期时，该签名就不在有效。那么用户在运行该软件时，就会受到平台的拦截运行。 每次用户运行时，系统都会检查可执行文件上的签名。这意味着如果软件的代码签名证书过期并且没有时间戳的话，软件将突然停止为所有用户工作。 对于大多数软件开发者说来，都希望其开发的软件能够被用户长期使用。因此代码签名证书的时间戳具有重要的功能，因为它可确保软件能长期运行。 时间戳本身是由CA签名并加以保护，使其不受篡改或欺骗以及密码保护。 在Windows上，如果软件提供代码签名证书的CA不受信任，时间戳还可确保签名保持有效。 最佳实践 1、使用时间戳！在许多工具中，例如Microsoft的SignTool，时间戳是可选的。 2、检查平台支持：SHA-2是用于时间戳签名的现代标准算法。但是，仍有一些操作系统默认不支持SHA-2，开发者可考虑使用SHA-1签名或具有两个证书的双重签名来支持这两种算法。 3、使其成为构建过程的一部分：在更新软件时，开发者将构建并发布新的可执行文件。确保签名和时间戳是该过程的一部分，以避免每个软件版本出现任意意外问题和错误。 4、记录流程：时间戳在签名过程中需要额外的标志和命令，包括从CA检索时间戳签名的URL。确保员工或程序的更改都不会忘记正确签署软件。 5、关键损害的受损限制：无论颁发证书吊销之前或之后，时间戳可为操作系统提供了一种识别签名的方法。如果开发者因密钥泄露而需要吊销证书，则可以执行此操作，并且不会影响已经合法生成的签名（如果开发者已加盖时间戳）。时间戳将与撤销日期进行核对，并且在该日期之前发布的任何内容都将继续有效。 证书到期的重要影响 用户常对代码签名证书有一种误解，认为证书到期，就是证书颁发机构（CA）收取费用的另一个借口。但从技术角度来看，证书到期是PKI的基本组成部分，在系统上运行必须存在的，尤其是在多个独立方进行交互的Web PKI中。 PKI的主要目的之一是将身份（如域名，组织或其他）绑定到公钥上。对于任何类型的可信证书，申请者的身份都需经过验证，CA机构确保其准确性后，就会向该申请者颁发属于他的证书。申请代码签名，SSL和电子邮件证书都需如此。 如申请者在收到代码签名证书之前。CA供应商必须确保该公司真正存在，已经正确注册并且与具备良好的信誉，并且该公司需提供证书的相关的负责人信息。 已到期的代码签名证书，申请者申请续期是，CA机构需对申请者信息重新检查，以确保身份和公钥之间的绑定仍然正确。通过这种方式，将可信证书视为与护照或驾驶执照类似的身份证件。 撤销是一种额外的机制，可以指示何时不再信任证书，但这其中有多种原因（包括性能，客户端软件中缺少撤销状态检查以及可用性），因此不能将撤销作为主要使证书失效的方法。 证书过期还有其他原因，但为了减少证书收到恶意攻击的机率，在使用新密钥对重新验证证书，并升级到当前的加密方法，如新的签名算法或更强大的密钥。

下列是常用的OpenSSL命令列表 作为一个开源工具，OpenSSL可用于Windows，Linux，macOS，Solaris，QNX以及大多数主要操作系统。 以C编程语言编写的核心库，OpenSSL命令可用于执行从CSR生成到转换证书格式等数百种功能。但对于只想安装SSL证书的人来说，只有少数命令是非常必要的。下面是安装SSL证书时常要用到的OpenSSL命令及其应用程序。 用于生成私钥的OpenSSL命令 openssl genrsa -out yourdomain.key 2048 OpenSSL命令检查您的私钥 openssl rsa -in privateKey.key -check OpenSSL命令来生成CSR 如果已生成私钥： openssl req -new -key yourdomain.key -out yourdomain.csr 一旦执行这个命令，会被要求更多的细节。输入如下信息： 国家名称：您的组织合法所在的2位国家代码。 州/省：写出贵组织合法所在州的全名。 城市：写出您的组织合法所在城市的全名。 组织名称：编写组织的合法名称。 组织单位：部门名称（不强制，按Enter键跳过） 通用名称：合格域名（例如，www.yourtrustauth.cn。） 电子邮件：已通过认证的电子邮件ID（不强制，按Enter键跳过） 如果还没有生成私钥： 该命令将一次生成CSR和私钥。 openssl req -new \ -newkey rsa：2048 -nodes -keyout yourdomain.key \ -out yourdomain.csr \ -subj “/C=US/ST=Florida/L=Saint Petersburg/O=Your Company, Inc./OU=IT/CN=trustauth.cn”   国家名称：您的组织合法所在的2位国家代码。 州/省：写出贵组织合法所在州的全名。 城市：写出您的组织合法所在城市的全名。 组织名称：编写组织的合法名称。 组织单位：部门的名称 通用名称：您的完全限定域名 OpenSSL命令检查CSR openssl req -text -noout -verify -in CSR.csr 用于转换证书和密钥文件的OpenSSL命令 OpenSSL命令转换PEM文件： 将PEM转换为DER openssl x509 -outform ... 更多