Вопрос:

Certbot с использованием слабого шифрования Diffie Hellman

ssl lets-encrypt diffie-hellman starttls certbot

668 просмотра

1 ответ

5918 Репутация автора

Я читал здесь

https://weakdh.org/

Если я проверю безопасность на

https://www.ssllabs.com/ssltest/analyze.html

из-за этого один из моих сайтов, использующих certbot, получает рейтинг B

введите описание изображения здесь

есть ли решение?

certbot - это реализация https://letsencrypt.org/ для многих систем.

Автор: Toskan Источник Размещён: 08.11.2017 10:36

Ответы (1)


2 плюса

470 Репутация автора

Решение

Я просто столкнулся с той же проблемой. Основная проблема описана здесь: https://weakdh.org/

Насколько я понимаю, большинство веб-серверов запускают Diffie-Hellman с тем же набором простых чисел по умолчанию, и позже это было признано недостатком безопасности. Исправление заключается в создании новых простых чисел для согласования ключей Диффи-Хеллмана на вашем сайте. На этой странице есть подробности: https://weakdh.org/sysadmin.html

Короче говоря, запустите openssl dhparam -out dhparams.pem 2048, а затем добавьте путь к полученному файлу в блоке конфигурации вашего сервера nginx:

ssl_dhparam {path to dhparams.pem};

Например, я положил свой /etc/letsencrypt, поэтому я побежал

sudo openssl /etc/letsencrypt/dhparam -out dhparams.pem 2048

и добавил

ssl_dhparam /etc/letsencrypt/dhparams.pem;

под другими строками конфигурации Certbot в моем блоке сервера.

После перезапуска nginx sudo service nginx restartя получил оценку A на ssllabs.com.

Надеюсь, это поможет.

Автор: remicles2 Размещён: 15.01.2018 05:34
Вопросы из категории :
32x32