Вопросы Теги

Как заархивировать множество подкаталогов n-го уровня без их верхнего (родительского) каталога?

Что ж, вам нужно настроить протоколы, шифры и некоторые другие параметры по своему вкусу. Вы также смешиваете протоколы и комплекты шифров, что, вероятно, не очень хорошо.

Вот базовая конфигурация SSL / TLS для www.cryptopp.com , проекта с открытым исходным кодом, в котором я помогаю. Он работает на виртуальной машине CentOS 7 и получил оценку «A» в тестах Qualsys. Никто из нас не является экспертом по Apache, поэтому принимайте конфигурацию за чистую монету. Мы делаем достаточно, чтобы у пользователей не возникало проблем, но не более того.

Обычно вам нужно что-то вроде «TLS 1.0 и выше» ( SSLProtocol -all + TLSv1 + TLSv1.1 + TLSv1.2 ) и «Современные наборы шифров» ( SSLCipherSuite HIGH:! ANULL :! kRSA:! MD5:! RC4 ). ! KRSA означает «отсутствие передачи ключей RSA», что фактически оставляет Diffie-Hellman и прямую секретность.

Конфигурация также устанавливает заголовок STS ( Strict-Transport-Security ). 

# cat /etc/httpd/conf.d/ssl.conf | grep -v '#'
Listen 443 https

SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog

SSLSessionCache         shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout  300

SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin

SSLCryptoDevice builtin


SSLEngine on

DocumentRoot "/var/www/html"
ServerName www.cryptopp.com:443
ServerAlias *.cryptopp.com cryptopp.com

ErrorLog logs/error_log
TransferLog logs/access_log
LogLevel warn

SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2

SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4

SSLCertificateFile /etc/pki/tls/certs/cryptopp-com.chain.pem

SSLCertificateKeyFile /etc/pki/tls/private/cryptopp-com.key.pem

SSLCertificateChainFile /etc/pki/tls/certs/cryptopp-com.chain.pem

SSLVerifyClient none

Header set Strict-Transport-Security "max-age=15552001; includeSubdomains;"

Я также предполагаю, что вы не используете OpenSSL 1.1.0.Скорее всего, вы используете более старую версию FIPS. Вот из той же виртуальной машины CetOS 7: 

$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

Сопровождающие патчи для бэкпорта, так что все, что вы знаете, это (1) вы начали где-то около 1.0.1e, (2) вы действительно не знаете, что у вас есть в данный момент, и ( 3) у вас есть устройство, похожее на Фрекенштейна, которое было собрано по кусочкам.

2
01.09.2016, 11:58
0 ответов

Теги

Похожие вопросы