标签 Security 下的文章

Let's Encrypt 的多证书申请及 NginX 配置

前言

无意翻到 Let's Encrypt (下称 LE )已支持 OCSP Must-Staple 扩展的消息
再加上之前也想升级双证书
于是又有了重新折腾一次的动力。
记录如下——

特别提示:
如果仅是希望使现有证书支持 OCSP Must-Staple ,
用原私钥重新生成 CSR 申请证书即可。
详见 CSR 一节。

准备

服务器环境

推荐使用 nginx-autoinstall 脚本进行安装,
原 Repo 仅适用于 Debian 8
其它发行版需要稍作修改。

编译并安装完可以使用如下工具测试相关特性:

工具选择

CA 当然选择免费且开源的 LE
工具方面则依旧选用 ACME-Tiny
官方列表中亦罗列不少,
包括最近很流行的国人作品 ACME.sh
若选用其它工具则签发流程会有所变化(相应环节会稍作说明)。

密钥强度及算法选择

RFC5480 ,对 ECDSA 证书的推荐组合如下:

- 阅读剩余部分 -

在 NginX 上为证书配置 OCSP Stapling

前言

 QuChao.com 的 Stapled OCSP Response

去年末“赶时髦”申请了 Let's Encrypt(下称 LE )的免费证书,
遗憾的是还不支持泛域名 ECC 证书(后者已被支持,中间证书则尚未提供),
不过一切都在进行之中。
有兴趣者请密切关注其论坛。

其中间证书虽已让被广泛支持的 IdenTrust 根证书 交叉签发,
然而它仍旧只是个刚“出道”的 CA ,
不少服务器和本地程序还未信任其证书,
一些朋友可能与我一样在配置 ssl_stapling_file 时遇到一些困难,
于是我将这部分配置过程从笔记里摘出来与大家分享、探讨。

关于 OCSP Stapling 的资料很多,
自己也还在学习之中,
这里仅给出一些链接:
简单地说它是一种的优化手段——
将原本需要客户端实时发起的 OCSP 请求转嫁给服务端;
利用 NginX 的 ssl_stapling_file 指令更可将业已缓存的查询结果直接返回,
使得缓存的更新时间更可加控。

环境

我使用的环境如下:

其中 NginX 版本最为关键,
它从 1.3.7+ 开始支持该特性。

  • CentOS/7.2.x
  • NginX/1.9.x
  • OpenSSL/1.0.1e

启用 OCSP Stapling

我们假定你已从 LE 申请到了证书,
并能正常提供服务。

- 阅读剩余部分 -

未越狱 iOS 设备莫名出现企业应用的排查过程一例

2014.11.15 更新

不愧是上市公司,动作就是快


2014.11.06 更新

木马已由 PANWClaud Xiao 确认并命名为 WireLurker (aka MacHook),
大家现在可下载其推出的排查脚本来源)来检查系统了。
然而清除工作目前仍需要手工完成,可参看文末。


2014.11.05 更新

网友 littledew 已找到了木马作者嫌疑人,
群众与他正在 V2EX 论战中(已被删帖,点此查看备份);
后续情况详情见 Livid 的声明(请关注声明中提到的某个域名)。


2014.06.01 发布

最近我所有未越狱的 iOS 设备都出现了一个怪现象:
与 Mac 同步之后会莫名出现若干企业应用。
第一次是 5 月 21 日出现的“PP助手正版”(下图),
接着一周后出现了“乱世之刃2”。

PP助手正版

第二次出现奇怪的应用之时引起了我的注意。(头一次被我手快直接删除了)
首先在“描述文件”中皆出现了开发商证书(下图);
其次首次启动该应用会弹出确认。

PP助手正版证书

于是我决定花一点时间研究一下其源头。

- 阅读剩余部分 -