如何配置 MySSL 企业版外链报告 Header

img{ width: 100%; padding-left: 0%; } 随着 MySSL 企业版的开发进度的推进,我们最近上线了 HTTPS 外链监控的功能。下面是该功能相关使用说明。 进入 MySSL 企业版: 你会获取到类似:https://2d89e693d66a49d6993df623e272311f.myssl-uri.com/api/csp-report 类似的 URL。这是我们为你分配的专属不安全外链的上报地址。 你拿到该地址需要做的是,将该地址添加到服务器的 header 处。 配置规则 在添加之前,你需要了解内容安全策略的配置规则: Content-Security-Policy:

https

MySSL v1.17新特性说明

img{ width: 100%; padding-left: 0%; } MySSL v1.17中,主要改动内容如下: 支持TLSv1.3(Draft28)检测; 备用名称缺失提示; Expect-CT头部检测; XSS保护头部检测; Symantec旧平台签发的证书升级提示; 更优雅的工具箱展示; OCSP证书吊销信息查询; 常见邮件服务器(SMTP/IMAP/POP3)评级检测。 部分特性如下图所示: 工具箱展示如下图所示: OCSP证书吊销信息查询如下图所示: 常见邮件服务器(SMTP/IMAP/POP3)评级检测如下图所示: 接下来,

symantec

关于Symantec旧平台签发的证书升级提示说明

早些时候,DigiCert完成对了Symantec网站安全和公钥基础设施(PKI)业务的收购,成为了SSL/TLS与PKI全球领先的数字证书提供商。同时,DigiCert签署了一项Sub CA协议,将Symantec升级到DigiCert的PKI可信平台上,且表示将于2017年12月1日验证并升级所有Symantec证书,其详细时间表如下图所示。 从上图中我们可以了解,对于2016年6月1号之前使用Symantec旧平台签发的证书,最终替换时间为3月15日。对于2016年6月1日后签发的证书,最终替换日期为9月13日。 对于还没有替换且尚在有效期内的证书,我们通过Chrome浏览器访问时将被拦截,并显示如下图所示错误。 对于使用该证书的站点,我们将其评级降至E,并提示升级。 注意 距离2016年6月1日后使用Symantec旧平台签发证书的替换时间只有两个月了,使用该类证书的站点,在MySSL.com检测时,我们会给出如下图所示提示,如果您正好在使用该类证书,请尽快更新替换。 检测 您也可以使用我们的Symantec

pci-dss

更严格的PCI DSS合规标准

PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施。 早在去年6月30号PCI安全标准委员会官方发表博文将于2018年6月30号(最晚),也就是本月月底禁用早期SSL/TLS,并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求,从而保护支付数据。 随着时间的临近,我们提前调整了PCI DSS合规判定标准(在原有的标准之上,支持TLS v1.0或更早的加密协议将会判定为不合规),方便您提前调整您的服务以避免违规的风险。 解决方案

https

HTTPS安全与兼容性配置指南

自从MySSL推出之后,很多网站HTTPS检测评分都达到了A或者A+,但在看检测结果的时候,发现类似于百度和淘宝这类大用户群的网站居然没有评级到A或者在使用的加密套件上有橙色的加密套件,这就让我们非常诧异,难道是这些个网站不注重安全么?如果说百度不注重用户的隐私安全,那还能说得过去,毕竟在搜索的时候没啥重要信息。但是淘宝这种电商不应该不会不重视网站的安全性。那又是什么原因让这些网站造成了这种情况呢?通过仔细的观察报告结果和查询资料发现,这些网站这样做的原因是为了更好的兼容性。

https

MySSL App上线啦!!!

就在这个月我们的MySSL iOS版App正式上线了,在App Store直接搜索MySSL或者点这里就可以直接下载。iOS版App主要解决了iOS端Safari与Chrome上难已查看证书的问题。 如下图所示,在你使用Safari浏览网页时直接点击分项按钮就可以使用该App查看该网页的HTTPS安全评估结果。 当然,初次安装你可能在扩展栏里没有看到MySSL,只要你往后拖拽点击更多就会发现我们的扩展。如果经常使用,可以将MySSL扩展像我一样,拖到靠前位置,方便使用。 这里可能需要注意第一次使用APP的时候,你需要进MySSL App中同意使用网络。 在Chrome上查看只比Safari多一步,点击右上角菜单栏我们就可以看到分享按钮了。

ssl

MySSL相关术语

EV EV证书(Extended Validation Certificate)是一种根据一系列特定标准颁发的X.509电子证书,根据要求,在颁发证书之前,证书颁发机构(CA)必须验证申请者的身份。不同机构根据证书标准发行的扩展验证证书并无太大差异,但是有时候根据一些具体的要求,特定机构发行的证书可以被特定的软件识别 OV OV证书(Organization Validation SSL),指需要验证网站所有单位的真实身份的标准型SSL证书,此类证书不仅能够起到网站信息加密的作用,而且能向用户证明网站的真实身份。 DV DV证书(Domain Validation SSL),指需要验证域名的有效性。该类证书只提供基本的加密保障,不能提供域名所有者的信息。 HPKP 公钥固定,

最佳实践

HTTPS 安全最佳实践(三)之服务器软件

我们在最佳实践文章中建议大家如何去配置协议和密码套件,但是如果服务器软件(nginx、apache等)所使用的ssl协议库存在SSL漏洞,或者不支持那些现代化的密码套件和特性,那么无论你如何去修改配置都无法改善现在的安全问题。 所以我们在配置前,或者发现按照推荐配置进行了调整《SSL/TLS安全评估报告》还是无法满足要求,那么可以检查下所使用的OpenSSL等加密库是否版本过低。 如何检查OpenSSL版本 nginx nginx -V nginx version: nginx/1.10.2 built by gcc 4.8.5 20150623 (Red Hat 4.

最佳实践

HTTPS 安全最佳实践(二)之安全加固

当你的网站上了 HTTPS 以后,可否觉得网站已经安全了?这里 提供了一个 HTTPS 是否安全的检测工具,你可以试试。 本篇正文讲述的是 HTTP 安全的最佳实践,着重在于 HTTPS 网站的 Header 的相关配置。 1 连接安全性和加密 1.1 SSL/TLS 传输层安全(TLS)及其前身安全套接字层(SSL),通过在浏览器和 web 服务器之间提供端到端加密来促进机密通信。没有 TLS,就谈不上什么安全。

最佳实践

HTTPS 安全最佳实践(一)之SSL/TLS部署

SSL/TLS 是一种简单易懂的技术,它很容易部署及运行。但想要部署的安全通常是不容易的。这也使系统管理员和开发者不得不去了解 SSL 和 TLS 相关的技术,掌握如何配置一个安全的 web 服务器或应用。无疑会耗费很大的精力去看相关的技术文档,乏味且宽泛。 本篇文档的目的在于如何让系统管理员或开发者用尽可能少的时间部署一个安全的 web 站点或应用,即 SSL 和 TLS 部署最佳实践。 1 证书和私钥 在TLS中,所有的安全性都从服务器的密码标识开始;需要一个强大的私钥来防止攻击者进行模拟攻击。同样重要的是要有一个有效的和强大的证书,这将授予私有密匙作为一个特定主机名的权利。没有这两个基本的构建块,就没有其他东西可以安全了。 1.