-
0. 하이브리드 인증서 생성 이유Nginx 1.11.0 부터 인증서를 2개 설정 가능합니다. RSA, ECDSA 인증서를 모두 적용하면 오래된 브라우저 지원을 하면서도 최고의 퍼포먼스를 낼 수 있습니다. 그리고 ECDSA는 EC 알고리즘을 사용하기 때문에 RSA보다 작은키를 사용해도 해독하기 더 어렵다고 합니다. 기존 letsencrypt 명령어를 이용하여 정상적으로 인증서를 받은 후 진행하는 것입니다. 기존 명령어로 생성하면 RSA 인증서가 생성된 것입니다. 이제 ECDSA 인증서를 생성할 차례입니다.참고 : http://www.…
-
{이미지:0}1. HPKP(HTTP Public Key Pinning) 의미공격자들이 인증서를 훔치거나 위조해 사용자가 자기도 모르게 악성 사이트에 접속하고도 그 사실을 인지 못하게 하는 공격을 자주 했는데 퍼블릭 키 피닝을 사용하면 공인 인증서 발급 기관과 특정 도메인을 하나로 엮어주기 때문에 인증서를 위조하는 것만으로는 중간자 공격이 어려워집니다2. 웹사이트에서 뽑아내기{이미지:1}https://report-uri.io/home/pkp_hash위 링크로 들어가서 https를 포함한 도메인주소를 넣으면 알아서 뽑아줍니다. 해당 키…
-
1. 인증서 투명성에 대하여{이미지:0}Certificate Transparency 인증서 투명성 인증을 받으면1. 도메인 소유주의 허락없이 SSL 인증서 발급을 불가능하게 만듭니다.2. 인증서가 실수 또는 악의적으로 발행되는 것을 감시 할 수 있습니다.3. 실수 또는 악의적으로 발행된 인증서로부터 사용자를 보호합니다.자세한 내용은 구글의 설명을 참조하시면 좋습니다. (https://www.google.com/transparencyreport/https/ct/?hl=ko)그래서 제 생각엔 HTTPS를 이용하는 홈페이지는 모두 인증…
-
사이트 속도 측정하는데 Javascript 파일이 Gzip 압축이 안된다고 나와있어 무난한 설정으로 변경했습니다.nginx.conf 파일에서[code]### Gzip Settings##gzip on;gzip_disable “MSIE [1-6].(?!.*SV1)”;gzip_buffers 16 8k;gzip_comp_level 6;gzip_http_version 1.1;gzip_min_length 256;gzip_types text/plain text/css application/json application/x-javascript a…
-
{이미지:1}▲ A+ 받았어요!!! ( 링크 )HTTPS로 적용 후 HPKP 적용, HTST preload 신청, 홈페이지 Http 관련 에러 잡기 등등 겨우 끝났네요 ㅠㅠ일단 제 글이 링크가 걸려있는 경우가 많아서 (링크) 글에 따라 기존 링크에서 넘어와도 바로 https로 붙게 설정해뒀습니다.1. HPKP(HTTP Public Key Pinning) 적용HPKP가 뭔지 몰랐는데 찾아보니 좋은 기능이더라구요.공격자들이 인증서를 훔치거나 위조해 사용자가 자기도 모르게 악성 사이트에 접속하고도 그 사실을 인지 못하게 하는 공격을 자주…
-
http://unix.stackexchange.com/questions/259430/let-encrypt-nginx-ocsp-stapling
요것도 실패!!! 시간이 답인 듯 ㅠㅠ
-
링크에 있는대로 적용하면 됩니다.서버의 SSL 인증서가 있는 폴더에 가서wget -O - https://www.startssl.com/certs/ca.pem https://www.startssl.com/certs/class1/sha2/pem/sub.class1.server.sha2.ca.pem | tee -a ca-certs.pem> /dev/null위 명령어로 ca-certs.pem을 받습니다.Nginx의 경우 서버 설정에서[code]ssl_trusted_certificate /실제위치/ca-certs.pem;ssl_stap…
-
https://letsencrypt.org/certificates/여기서 root 인증서도 받고openssl ocsp -CAfile root.pem -verify_other chain.pem -issuer chain1.pem -cert cert1.pem -no_nonce -text -url http://ocsp.int-x3.letsencrypt.org/ -header "HOST" "ocsp.int-x3.letsencrypt.org"위 명령어로 OCSP 반응도 성공으로 바꼈는데...OCSP Requ…
-
{이미지:0}SSLlabs에서 SSL 보안 점수 높이려고 노력하다가 겨우 OSCP stapling을 받았네요.완전히 처음보는 개념들이 많아서 거의 하루 밤샜네요 ㅠㅠ스샷에 보다시피OCSP staplingYes를 받기위해 부단히 노력했습니다.간단하게 OCSP 적용이 되는지 확인하려면1. 서버에 하나의 HTTPS 사이트가 있을 때openssl s_client -connect wsgvet.com:443 -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP respons…
-
예를 들어http://www.example.comhttp://example.comhttps://www.example.com위 세가지 경우https://example.com위와 같이 돌리는 방법입니다.sites-available의 사이트 파일에서server { listen 80; server_name example.com www.example.com; return 301 https://$server_name$request_uri;}server{ listen 443; server_name www.example.com; return…