SSL数字证书常见问答.docx

数字证书常见问答出品公司：亚洲诚信一、ssl 协议细节的一些词汇解释Secure Client-Initiated Renegotiation安全客户端再协商Insecure Client-Initiated Renegotiation非安全客户端再协商BEAST attack野兽攻击，主要针对 CBC 加密方式的攻击 TLS 1.0: 0xc014POODLE贵宾犬漏洞，针对 ssl 协议的填充漏洞（主要是 sslv3，tls1.0）Downgrade attack prevention防止 tls 回降到 ssl 的 tls 增强属性（需服务器支持）TLS compressionTls 压缩（会引起 crime 攻击）RC4对称加密的流加密方式之一，被视为不安全的方式Heartbeat (extension)心跳包Heartbleed (vulnerability)心血漏洞OpenSSL CCS vuln. (CVE-2014-0224)CCS 漏洞Forward Secrecy前向保密（让证书私钥和会话密钥无关，保证安全性，在服务器上配置）Next Protocol Negotiation (NPN)协议再协商Session resumptionSsl 的会话复用OCSP staplingOcsp 吊销检测协议的装订Strict Transport Security (HSTS)浏览器强制将 http 跳转 https max-age=时间长度Public Key Pinning (HPKP)公钥钢钉，只允许指定的 ca 签发的证书Long handshake intolerance忽略长握手TLS extension intolerance忽略 tls 增强属性TLS version intolerance忽略 tls 版本Incorrect SNI alerts不正确的服务器名称指示Uses common DH prime使用固定的 DH 参数SSL 2 handshake compatibilitySslv2 的兼容性二、Symantec 漏洞评估 常见问题什么是网站漏洞？网站漏洞是指 网站上存在的一个潜在的入口 ，通过这个入口可以对网站进行一些非法操作，比如越权获取或破坏网站的程序或数据，甚至可以完全操控整个网站系统。

一个常规的网站 甚至是一个简单的博客系统 都可能包含上千个潜在的漏洞什么是 Symantec 漏洞评估？Symantec 对于每一个购买 Symantec 增强型或 专业版 SSL 证书的站点，都免费提供 漏洞评估漏洞评估可以帮您快速发现您网站存在的潜在漏洞并提供建议性解决方案漏洞评估包括：每周 扫描可公开访问的站点 网站程序、服务器系统和软件、网络端口等存在的潜在漏洞可生成一份漏洞评估报告，包括各漏洞的风险级别 和修复方案可以手动控制重新扫描 来确定上次漏洞是否已经修复Symantec SSL 证书 如何保证网站的访问安全？SSL 通过加密传输中的数据保证数据传输的机密性漏洞评估可发现并告知用户 站点上存在的潜在漏洞威胁恶意软件扫描可以发现并提醒用户站点上是否存在恶意代码SSL 加密结合漏洞评估和恶意软件扫描可以帮助您为网站访问者提供一个更加安全的体验三、让 https 更完美--优化外链相信大家在为自己的站点部署 ssl 证书的时候，不经意间，总会遇到一两个问题比如 ie 浏览器提示--“只显示安全内容”，比如 chrome 提示--“此页包含不安全资源“等等为什么会有这样的提示呢？其实，从字面意思上可以看出，页面中混入了一些不安全的资源。

详细来说，浏览器认为用户访问 https的资源是属于安全资源，http 的资源则是不安全资源那么当用户使用 https 来访问我们站点时，他本质意愿是希望访问安全资源，那如果页面中混入 http 的外链时候，浏览器则友好的提醒用户--“当前访问的网站有不安全资源“遇到这种情况的时候，我们这样解决就可以了方法 1：将 http 外链的资源，使用 https 来引入方法 2：如果是一些少量的静态资源，可将它们保存到自己的服务器上，然后在页面代码中使用绝对路径注：外链是值从别的网站导入自己网站的链接在 html 页面中，常见为 src=“资源链接“四、sha2 的兼容问题这些年来 sha2 的支持度在不断的提高大多数浏览器，平台，邮件客户端和移动设备都已经支持 sha2了但是，仍有一些较老的系统，诸如 windows xp sp3 以前的系统不支持 sha2 算法很多组织在转型至 sha2 的时候，会遇到用户的体验问题，也就是兼容性下面列举一些设备 sha2 的最小支持版本浏览器和服务器的支持度浏览器最小支持 sha2 的版本Chrome26+Firefox1.5+Internet Explorer6+ (系统要求 windows XP SP3+)Konqueror3.5.6+Mozilla1.4+Netscape7.1+Opera9.0+Safari3+ (苹果系统 OS X 10.5)服务器最小支持 sha2 的版本4D Server14.01+Amazon Web Services (AWS)见备注Apache2.0.63+ w/ OpenSSL 0.9.8o+Barracuda Network Access Client3.5+Cisco ASA 55008.2.3.9+(支持任意 vpn 会话); 8.4(2)+ (其他功能)Citrix ReceiverVaries - See PDF (FIPS 140 & SHA-2 Line)CrushFTP7.1.0+F5 BIG-IP10.1.0+IBM Domino Server9.0+ (和 IBM HTTP Server 8.5+绑定使用)IBM HTTP Server8.5+ (和 IBM Domino Server 9+绑定使用)IBM z/OSv1r10+Java based productsJava 1.4.2+Mozilla NSS Based Products3.8+OpenSSL based productsOpenSSL 0.9.8o+Oracle Wallet Manager11.2.0.1+Oracle Weblogic10.3.1+SonicOS (SonicWALL)5.9.0.0+WebSphere MQ7.0.1.4+备注： 虽然 AWS 是兼容 SHA-2，AWS 实例是典型的虚拟专用服务器。

因此，AWS SHA-2 兼容取决于基础服务器平台其他 AWS 应用程序（如弹性负载平衡（ELB））支持 SHA-2 证书系统的 SHA2 支持度操作系统 ssl 证书最低版本 客户端证书最低版本Android2.3+2.3+Apple iOS3.0+3.0+Blackberry5.0+5.0+ChromeOS支持支持Mac OS X10.5+10.5+WindowsXP SP3+XP SP3+ (部分)Windows Phone7+7+Windows Server2003 SP2 +补丁 (部分)2003 SP2 +补丁 (部分)详细操作系统兼容性操作系统SSL 证书(客户端)Ssl 证书(服务器)S/MIME代码签名Mac OS X 10.5+是无是是Windows 8是无是是Windows 7是无是部分Windows Vista否无是部分Windows XP SP34是无部分部分Windows Server 2012 & 2012 R2是是是是Windows Server 2008 & 2008 R2是是是部分Windows Server 2003 w/ KB 938397 3, 4是是部分部分Windows Phone 8是无是无Windows Phone 7是无是无详细的代码签名兼容性操作系统身份验证驱动签名VBA 宏:Office 2003, 2007, 2010VBA 宏: Office 2013Windows 8是是否是Windows 7是否否是Windows Vista是否否无Windows XP SP3是否否无五、为什么需要使用 SSL 服务器证书随着互联网日益发展，新型的网络生活渐入人们的日常生活，网络购物，游戏娱乐，工作办公等等，那么问题也随之产生，使用互联网的同时，如何能保障重要信息呢?于是 SSL 应运而生，SSL 证书就是用于保证信息安全的方法之一。

稍稍了解一下技术的话，SSL 证书看似是一段保存了无序内容的文件，把他保存在自己网站服务器上，服务器启动的时候通过配置文件的方式加载证书，正确部署后，我们的网站就可以使用 https 来访问了https 可以看作是 http 的加强版，如果说 http 是把信息交互的内容，完全暴露的方式交互的话，https 则是用保险箱包装了信息后再交互，这样中间的物流人员（攻击者）就无法轻易看到内容了https 是必须使用 SSL 证书的，这也是为什么说 SSL 证书是保证信息安全的重要手段之一的原因了对专业人士来说，SSL 证书提供了：1.SSL 协议的必要条件，SSL 握手需要证书2.用于通信过程中，为通信双方交换会话时使用的密码从普通用户角度来说，SSL 证书作用是：1.保证网站的真实身份，因为证书不可被伪造2.为网站提供了加密服务六、SSL 证书备份IIS 证书备份 Apache 证书备份 Tomcat 证书备份IIS 证书备份1. 打开“运行”窗口 输入 “mmc” ，打开控制台2. 选择“文件”菜单下的“添加/删除管理单元”3. 点击“添加” 并选择“证书”选项，账户锁定为“计算机账户”。

4. 打开“个人” -> “证书”，右击需要备份的证书选择“所有任务” -> “导出”5. 下一步，在选择私钥处选择“是，导出私钥”，继续点击下一步后完成6. 选中“如果可能，将所有证书包括到证书路径中(U)”7. 设置备份文件密码，设置后用备份文件导入证书时需要密码才可以解密(密码可以为空)8. 选择导出文件的路径和文件名，文件格式为.pfx9. 导出成功Apache 证书备份保存证书安装时的证书文件(server.cer) 和私钥文件(server.key) 即可Tomcat 证书备份保存证书安装完成后的 jks 文件(server.jks)即可。