Внедрение SSL сертификата Comodo

Как получить бесплатный сертификат от китайского WoSign на год я уже рассказывал. Но вот для рабочего портала потребовался Wildcard SSL сертификат. Мы прикупили Ukrnames Wildcard SSL Certificate у партнера Comodo. Через некоторое время получаю в архиве следующие файлы: *_domain_tld.crt ca_1.crt ca_2.crt ca_3.crt *_domain_tld.crt — сертификат домена файлы ca_*.crt — промежуточные сертификаты Внедрение Чтобы все работало и браузеры не ругались на якобы не доверенный сертификат, нужно все эти файлы сертификатов объединить в один файл … → …

Бесплатный ssl сертификат? Пожалуйста!!!

Как получить ssl сертификат Для этого воспользуемся китайским сервисом WoSign. Поэтапные шаги для получения сертификата выложены в слайдере ниже Переход на https в nginx Беру ранее сгенерированый ключ, полученный сертификат для nginx и привожу конфиг-файл сайта к следующему виду server { listen 80; server_name mydomain.tld www.mydomain.tld; rewrite ^ https://$host$1 permanent; } server { listen 443 ssl http2; server_name mydomain.tld; … ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:!EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4; ssl_protocols TLSv1.2; ssl_certificate /etc/ssl/nginx/mydomain.tld/1_mydomain_bundle.crt; ssl_certificate_key /etc/ssl/nginx/mydomain.tld/2_mydomain.key; … → …

Отключить SSL на стороне сервера и клиента

Ничего на этой земле совершенного нет. И в SSLv3 нашли возможность перехватывать Secure HTTP-куки или содержимое заголовков HTTP-авторизации. Теперь нужно определиться, что с этим делать. Во-первых можно отключить проблемный протокол на стороне нашего сервера. Для этого: в случае apache в httpd.conf или конфиге виртуального сервера SSLProtocol All -SSLv2 -SSLv3 в случае nginx ssl_protocols TLSv1 TLSv1.1 TLSv1.2; после этого stop/start сервера После этого идем на Qualys SSL Lab и проверяем сервер. Таким … → …

Безопасность Postfix. Часть 2

Отправка почты через релей На данном этапе конфигурации сторонние наблюдатели могут предположить куда и сколько писем мы отправляем, однако, они не могут узнать содержимое посланий. Но что будет, если они установят на пути прохождения соединения «блок-пост», подобный описанному в предисловии, или будут совершать «набеги» время от времени? Вариантов не много: Показать содержимое послания и пройти дальше — именно этот сценарий будет реализован на базе настроек из предыдущего раздела (параметр smtp_tls_security_level установлен в значение may) Вернуться назад … → …

Безопасность Postfix. Часть 1

Предисловие Однажды, настраивая сервер, я совершенно случайно обнаружил, что отправляемая с сервера почта идет по открытому каналу связи несмотря на то, что настройки почтового клиента позволяли начинать защищенный сеанс в случае поддержки данного функционала принимающим почтовым сервером. В процессе решения данной проблемы выяснилась занимательная деталь — все исходящие соединения на 25-й порт проксировались через сторонний сервис, который в процессе работы изменял проходящие через него данные, нарушая тем самым предполагаемый ход сеанса связи. Выглядело это … → …