使用弱 diffie hellman 加密的 certbot
certbot using weak diffie hellman encryption
我正在阅读这里
如果我在
上验证安全性
https://www.ssllabs.com/ssltest/analyze.html
我的一个网站使用 certbot 因此我得到了 B 的评级
有解决办法吗?
certbot 基本上是 https://letsencrypt.org/ 对许多系统的实现。
我刚 运行 遇到了同样的问题。这里描述了核心问题:
https://weakdh.org/
据我了解,大多数 Web 服务器都使用相同的默认质数集启动 Diffie-Hellman,后来发现这是一个安全漏洞。解决方法是为您站点的 Diffie-Hellman 密钥协商生成新的素数。此页面包含详细信息:https://weakdh.org/sysadmin.html
简而言之,运行 openssl dhparam -out dhparams.pem 2048,然后在您的 nginx 服务器配置块中添加结果文件的路径:
ssl_dhparam {path to dhparams.pem};
例如,我把我的放在/etc/letsencrypt,所以我运行
sudo openssl /etc/letsencrypt/dhparam -out dhparams.pem 2048
并添加
ssl_dhparam /etc/letsencrypt/dhparams.pem;
在我的服务器块中的其他 Certbot 配置行下。
用 sudo service nginx restart 重新启动 nginx 后,我在 ssllabs.com 上获得了 A 等级。
希望对您有所帮助。
我正在阅读这里
如果我在
上验证安全性https://www.ssllabs.com/ssltest/analyze.html
我的一个网站使用 certbot 因此我得到了 B 的评级
有解决办法吗?
certbot 基本上是 https://letsencrypt.org/ 对许多系统的实现。
我刚 运行 遇到了同样的问题。这里描述了核心问题: https://weakdh.org/
据我了解,大多数 Web 服务器都使用相同的默认质数集启动 Diffie-Hellman,后来发现这是一个安全漏洞。解决方法是为您站点的 Diffie-Hellman 密钥协商生成新的素数。此页面包含详细信息:https://weakdh.org/sysadmin.html
简而言之,运行 openssl dhparam -out dhparams.pem 2048,然后在您的 nginx 服务器配置块中添加结果文件的路径:
ssl_dhparam {path to dhparams.pem};
例如,我把我的放在/etc/letsencrypt,所以我运行
sudo openssl /etc/letsencrypt/dhparam -out dhparams.pem 2048
并添加
ssl_dhparam /etc/letsencrypt/dhparams.pem;
在我的服务器块中的其他 Certbot 配置行下。
用 sudo service nginx restart 重新启动 nginx 后,我在 ssllabs.com 上获得了 A 等级。
希望对您有所帮助。