https - HTTPS 安全最佳实践

证书相关问题以及修复建议

使用了不可信的证书证书由正规机构签发，拥有完整证书链，并且根证书在系统和浏览器中可信。证书签发过程可查，可追踪。怎么解决证书不可信?申请或购买正规证书提供商的证书。证书链不完整证书与上级签发证书组成的可信链，是浏览器检查网站是否可信的关键，不完整的证书链有一定概率导致浏览器判定网站为不可信。怎么解决证书链不完整?证书链下载 https://myssl.com/chain_download.html输入域名或者上传证书文件，下载补全的证书链信息使用了Symantec旧PKI平台在2016年6月1日前签发的证书关于Symantec旧平台签发的证书升级提示说明 https://blog.myssl.com/symantec-update-tip/使用了不符合CT政策的证书Chrome 证书透明度（CT）相关政策 https://blog.myssl.com/chrome-certificates-transparency-ct-policy/

ct

Apple 证书透明度（CT）相关政策

TLS 服务器身份验证证书必须符合 Apple 的证书透明性（CT）策略，才能在 Apple 平台上被评估为受信任的。如果证书不符合 Apple 的政策，则会导致 TLS 连接失败，这可能会中断应用程序与 Internet 服务的连接或 Safari 的无缝连接能力。在 2021 年第一季度，Apple 提出了自己的证书透明度日志计划。政策要求加入 Apple 证书透明度日志计划，日志必须满足以下所有要求：日志实例必须按照 RFC6962 中的规定来实施 CT。

https

MySSL v1.17新特性说明

MySSL v1.17中，主要改动内容如下： - 支持TLSv1.3(Draft28)检测； - 备用名称缺失提示； - Expect-CT头部检测； - XSS保护头部检测； - Symantec旧平台签发的证书升级提示； - 更优雅的工具箱展示; - OCSP证书吊销信息查询； - 常见邮件服务器（SMTP/IMAP/POP3）评级检测。

symantec

关于Symantec旧平台签发的证书升级提示说明

早些时候，DigiCert完成对了Symantec网站安全和公钥基础设施(PKI)业务的收购，成为了SSL/TLS与PKI全球领先的数字证书提供商。同时，DigiCert签署了一项Sub CA协议，将Symantec升级到DigiCert的PKI可信平台上，且表示将于2017年12月1日验证并升级所有Symantec证书，其详细时间表如下图所示。从上图中我们可以了解，对于2016年6月1号之前使用Symantec旧平台签发的证书，最终替换时间为3月15日。对于2016年6月1日后签发的证书，最终替换日期为9月13日。对于还没有替换且尚在有效期内的证书，我们通过Chrome浏览器访问时将被拦截，并显示如下图所示错误。对于使用该证书的站点，我们将其评级降至E，并提示升级。注意距离2016年6月1日后使用Symantec旧平台签发证书的替换时间只有两个月了，使用该类证书的站点，在MySSL.com检测时，我们会给出如下图所示提示，如果您正好在使用该类证书，请尽快更新替换。检测您也可以使用我们的Symantec

pci-dss

更严格的PCI DSS合规标准

PCI DSS，全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准，是由PCI安全标准委员会制定，力在使国际上采用一致的数据安全措施。早在去年6月30号PCI安全标准委员会官方发表博文将于2018年6月30号（最晚），也就是本月月底禁用早期SSL/TLS，并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求，从而保护支付数据。随着时间的临近，我们提前调整了PCI DSS合规判定标准（在原有的标准之上，支持TLS v1.0或更早的加密协议将会判定为不合规），方便您提前调整您的服务以避免违规的风险。解决方案

https

HTTPS安全与兼容性配置指南

自从MySSL推出之后，很多网站HTTPS检测评分都达到了A或者A+，但在看检测结果的时候，发现类似于百度和淘宝这类大用户群的网站居然没有评级到A或者在使用的加密套件上有橙色的加密套件，这就让我们非常诧异，难道是这些个网站不注重安全么？如果说百度不注重用户的隐私安全，那还能说得过去，毕竟在搜索的时候没啥重要信息。但是淘宝这种电商不应该不会不重视网站的安全性。那又是什么原因让这些网站造成了这种情况呢？通过仔细的观察报告结果和查询资料发现，这些网站这样做的原因是为了更好的兼容性。

https

MySSL App上线啦！！！

就在这个月我们的MySSL iOS版App正式上线了，在App Store直接搜索MySSL或者点这里就可以直接下载。iOS版App主要解决了iOS端Safari与Chrome上难已查看证书的问题。如下图所示，在你使用Safari浏览网页时直接点击分项按钮就可以使用该App查看该网页的HTTPS安全评估结果。当然，初次安装你可能在扩展栏里没有看到MySSL,只要你往后拖拽点击更多就会发现我们的扩展。如果经常使用，可以将MySSL扩展像我一样，拖到靠前位置，方便使用。这里可能需要注意第一次使用APP的时候，你需要进MySSL App中同意使用网络。在Chrome上查看只比Safari多一步，点击右上角菜单栏我们就可以看到分享按钮了。

tls漏洞

TLS ROBOT Attack漏洞

这是一个在1998年就发现的漏洞，该漏洞允许使用服务端的私钥执行`RSA`解密和签名操作。在1998年，`Daniel Bleichenbacher`发现了一个`SSL`服务器在的`PKCS#1 v1.5`中的填充允许自适应的密文选择攻击。但该错误与`RSA`加密一起使用时，能彻底打破`TLS`的安全性。

https

OCSP Must-Staple

当我们的证书被CA签署出来之后，因为一些特殊的情况（私钥泄露、用户放弃等等）我们需要去吊销该张证书，那该证书被吊销后，浏览器如何去判断出该证书是否已经被吊销了呢？毕竟，证书中是没有吊销信息的。检测证书吊销的情况一般由两种，分别是CRL和OCSP。现在的浏览器一般都是使用OCSP的方式查询证书是否已经被吊销。但这两种方式都有缺陷。

ssl

MySSL相关术语

EV EV证书(Extended Validation Certificate)是一种根据一系列特定标准颁发的X.509电子证书，根据要求，在颁发证书之前，证书颁发机构(CA)必须验证申请者的身份。不同机构根据证书标准发行的扩展验证证书并无太大差异，但是有时候根据一些具体的要求，特定机构发行的证书可以被特定的软件识别 OV OV证书(Organization Validation SSL)，指需要验证网站所有单位的真实身份的标准型SSL证书，此类证书不仅能够起到网站信息加密的作用，而且能向用户证明网站的真实身份。 DV DV证书(Domain Validation SSL)，指需要验证域名的有效性。该类证书只提供基本的加密保障，不能提供域名所有者的信息。 HPKP 公钥固定，

最佳实践

HTTPS 安全最佳实践（三）之服务器软件

我们在最佳实践文章中建议大家如何去配置协议和密码套件，但是如果服务器软件（nginx、apache等）所使用的ssl协议库存在SSL漏洞，或者不支持那些现代化的密码套件和特性，那么无论你如何去修改配置都无法改善现在的安全问题。所以我们在配置前，或者发现按照推荐配置进行了调整《SSL/TLS安全评估报告》还是无法满足要求，那么可以检查下所使用的OpenSSL等加密库是否版本过低。如何检查OpenSSL版本 nginx nginx -V nginx version: nginx/1.10.2 built by gcc 4.8.5 20150623 (Red Hat 4.

最佳实践

HTTPS 安全最佳实践（二）之安全加固

当你的网站上了 HTTPS 以后，可否觉得网站已经安全了？这里提供了一个 HTTPS 是否安全的检测工具，你可以试试。本篇正文讲述的是 HTTP 安全的最佳实践，着重在于 HTTPS 网站的 Header 的相关配置。 1 连接安全性和加密 1.1 SSL/TLS 传输层安全（TLS）及其前身安全套接字层（SSL），通过在浏览器和 web 服务器之间提供端到端加密来促进机密通信。没有 TLS，就谈不上什么安全。

最佳实践

HTTPS 安全最佳实践（一）之SSL/TLS部署

SSL/TLS 是一种简单易懂的技术，它很容易部署及运行。但想要部署的安全通常是不容易的。这也使系统管理员和开发者不得不去了解 SSL 和 TLS 相关的技术，掌握如何配置一个安全的 web 服务器或应用。无疑会耗费很大的精力去看相关的技术文档，乏味且宽泛。本篇文档的目的在于如何让系统管理员或开发者用尽可能少的时间部署一个安全的 web 站点或应用，即 SSL 和 TLS 部署最佳实践。 1 证书和私钥在TLS中，所有的安全性都从服务器的密码标识开始；需要一个强大的私钥来防止攻击者进行模拟攻击。同样重要的是要有一个有效的和强大的证书，这将授予私有密匙作为一个特定主机名的权利。没有这两个基本的构建块，就没有其他东西可以安全了。 1.