certbot, использующий слабое шифрование Диффи-Хеллмана

я читал здесь

https://weakdh.org/

Если я проверю безопасность на

https://www.ssllabs.com/ssltest/analyze.html

одного из моих сайтов с помощью certbot. Из-за этого я получаю оценку B

введите здесь описание изображения

есть решение?

certbot в основном представляет собой реализацию https://letsencrypt.org/ для многих систем.


ssl lets-encrypt diffie-hellman certbot starttls
person Toskan    schedule 08.11.2017    source источник
comment
Возможно, лучше спросить об информационной безопасности или ошибке сервера.   -  person zaph    schedule 09.11.2017
comment
LetsEncrypt — это центр сертификации (CA), а certbot — это инструмент для получения и установки сертификата от LE. Ваши проблемы (слабый DH и отсутствие PFS) не имеют абсолютно никакого отношения к вашему сертификату и, следовательно, вообще не связаны с LE или certbot. Они связаны с вашим серверным программным обеспечением и его конфигурацией, о которых вы не предоставили никакой информации, поэтому, если вы спросите, где это по теме, предоставьте информацию о них.   -  person dave_thompson_085    schedule 09.11.2017
comment
@ dave_thompson_085 извините за мое невежество. Я использую nginx... настройка nginx выполняется certbot   -  person Toskan    schedule 09.11.2017

Ответы (1)


arrow_upward
3
arrow_downward

Я только что столкнулся с той же проблемой. Основная проблема описана здесь: https://weakdh.org/

Насколько я понимаю, большинство веб-серверов запускают Diffie-Hellman с одним и тем же набором простых чисел по умолчанию, и позже это было признано недостатком безопасности. Исправление заключается в создании новых простых чисел для согласования ключей Диффи-Хеллмана на вашем сайте. Подробности на этой странице: https://weakdh.org/sysadmin.html

Короче говоря, запустите openssl dhparam -out dhparams.pem 2048, а затем добавьте путь к полученному файлу в блок конфигурации вашего сервера nginx:

ssl_dhparam {path to dhparams.pem};

Например, я поставил свой в /etc/letsencrypt, поэтому я побежал

sudo openssl /etc/letsencrypt/dhparam -out dhparams.pem 2048

и добавил

ssl_dhparam /etc/letsencrypt/dhparams.pem;

под другими строками конфигурации Certbot в моем блоке сервера.

После перезапуска nginx с sudo service nginx restart я получил пятерку на ssllabs.com.

Надеюсь, это поможет.

person remcycles    schedule 15.01.2018
comment
не проверял, но тем не менее приму. Посмотрю, когда будет время - person Toskan; 17.01.2018
comment
Спасибо. После того, как я опубликовал свой ответ, я также нашел этот сайт: linode.com/docs/web-servers/nginx/ - person remcycles; 18.01.2018