原文链接:https://www.cnblogs.com/JangoJing/p/6769759.html
1.https证书的分类
SSL证书没有所谓的"品质"和"等级"之分,只有三种不同的类型。
SSL证书需要向国际公认的证书证书认证机构(简称CA,Certificate Authority)申请。
CA机构颁发的证书有3种类型:
域名型SSL证书(DV SSL):信任等级普通,只需验证网站的真实性便可颁发证书保护网站;
企业型SSL证书(OV SSL):信任等级强,须要验证企业的身份,审核严格,安全性更高;
增强型SSL证书(EV SSL):信任等级最高,一般用于银行证券等金融机构,审核严格,安全性最高,同时可以激活绿色网址栏。
我们只要使用DV证书就可以了,一般来说我们申请到的免费ssl证书都是dv证书。
2.申请免费的证书
3.https网站安全验证
https已经可以访问了,但是https就一定是安全的吗,我们可以通过下面这个网站进一步检查你的网站的安全性,主要是从https的安全性去测试
https://www.ssllabs.com/ssltest/analyze.html
4.为了A+不断修改
4.1 关闭SLL2和SSL3
4.2 开启TLS1.0 1.1 1.2
4.3 关闭RC4
4.5 修改ssl配置设置
4.7 一键配置的powershell脚本(持续更新)
脚本作者:https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12
4.8 弱密码套件Diffie-Hellman整改
在注册表的SSL Configuration Settings中删除ssllabs测出的weak Diffie-Hellman密码套件。
参考:
https://weakdh.org/sysadmin.html
Microsoft IIS
- Open the Group Policy Object Editor (i.e. run gpedit.msc in the command prompt).
- Expand Computer Configuration, Administrative Templates, Network, and then click SSL Configuration Settings.
- Under SSL Configuration Settings, open the SSL Cipher Suite Order setting.
- Set up a strong cipher suite order. See this list of Microsoft's supported ciphers and Mozilla's TLS configuration instructions.
Microsoft has also made official instructions available.
https://msdn.microsoft.com/en-us/library/windows/desktop/aa374757(v=vs.85).aspx
https://docs.microsoft.com/zh-cn/security-updates/SecurityAdvisories/2015/3042058
