certbot 使用弱 diffie hellman 加密

【问题标题】:certbot using weak diffie hellman encryptioncertbot 使用弱 diffie hellman 加密
【发布时间】:2017-11-08 22:36:05
【问题描述】:

我在这里阅读

https://weakdh.org/

如果我验证安全性

https://www.ssllabs.com/ssltest/analyze.html

在我的一个使用 certbot 的网站中,我因此被评为 B

有解决办法吗?

certbot 基本上是许多系统的https://letsencrypt.org/ 的实现。

【问题讨论】:

  • 最好在Information SecurityServer Fault 上询问。
  • LetsEncrypt 是一个证书颁发机构 (CA),而 certbot 是一个从 LE 获取和安装证书的工具。您的问题(弱 DH 和缺少 PFS)与您的证书完全无关,因此根本不涉及 LE 或 certbot。它们确实涉及您的服务器软件及其配置,您没有提供任何信息,因此如果您询问这是什么主题,请提供有关这些的信息。
  • @dave_thompson_085 对不起我的无知。我用的是nginx……nginx的配置是由certbot完成的

标签: ssl lets-encrypt diffie-hellman starttls certbot


【解决方案1】:

我刚刚遇到了同样的问题。这里描述了核心问题: https://weakdh.org/

据我了解,大多数 Web 服务器以相同的默认质数集启动 Diffie-Hellman,后来发现这是一个安全漏洞。解决方法是为您站点的 Diffie-Hellman 密钥协商生成新的质数。此页面有详细信息:https://weakdh.org/sysadmin.html

简而言之,运行openssl dhparam -out dhparams.pem 2048,然后在你的 nginx 服务器配置块中添加生成文件的路径:

ssl_dhparam {path to dhparams.pem};

比如我把我的放在/etc/letsencrypt,所以我跑了

sudo openssl /etc/letsencrypt/dhparam -out dhparams.pem 2048

并添加

ssl_dhparam /etc/letsencrypt/dhparams.pem;

在我的服务器块中的其他 Certbot 配置行下。

使用sudo service nginx restart 重新启动 nginx 后,我在 ssllabs.com 上获得了 A 级。

我希望这会有所帮助。

【讨论】:

猜你喜欢
  • 2011-12-17
  • 2011-02-11
  • 2022-08-19
  • 2019-03-01
  • 2014-04-24
  • 1970-01-01
  • 1970-01-01
  • 2015-10-30
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode