Alexa-แก แแ แ-แแ แแ แกแแฃแแแแแกแ แกแแแขแ (แชแแแขแ แแแฃแ แ แฌแ แ), แแแชแฃแแแ HTTPS-แแ, แฅแแแแแแแแแแแ (แแแชแ แแกแคแแ แ) แแ แแแแแแแแแแฃแแแแแแแ (แแแแ แ), แ แแแแแแ แจแแ แแก แแ แแก แแแฃแชแแแแ (แแแขแแฎแแแ แแแฉแ แแแแแ)
แแฆแแกแแฆแแแแแ, HTTPS แฃแกแแคแ แแฎแ แแแแจแแ แแก แฎแแขแฃแแ แแแฎแแ แแแแแกแแแแ แ แกแแ แแแแฃแแ แกแแแขแแก แกแขแแแแแ แขแฃแแ แแ แแฃแชแแแแแแแ แแขแ แแแฃแขแแช แแ. แแฃ
แแแแ แแ แแฆแแแฉแแแแแ, แ แแ แแแกแแแแ แแแแแก แแแแจแ "แแแแแแแแแก" แแ แกแแแแแ แงแแแแแแแแก แแ แแซแแแแ แแแชแแแก แแแ แแแขแแแก.
แแแแแแแก แจแแแแแแแ
แแแแแแ แฉแแแขแแ แแก แแแแแชแแแก แฃแแแแแ แกแแขแแขแแก Ca' Foscari (แแขแแแแ) แแ แแแแแก แขแแฅแแแแฃแ แ แฃแแแแแ แกแแขแแขแแก แแฅแกแแแ แขแแแแ. แแกแแแ แฌแแ แแแแแแแแแ แแแขแแแฃแ แแแแแ แแจแก แฃแกแแคแ แแฎแแแแแกแ แแ แแแแคแแแแแชแแแแฃแ แแแแก 40-แ IEEE แกแแแแแแแฃแแแ, แ แแแแแแช แฉแแขแแ แแแแ 20 แฌแแแก 22-2019 แแแแกแก แกแแ-แคแ แแแชแแกแแแจแ.
แจแแแแฌแแแ Alexa-แก แขแแ 10 HTTPS แกแแแขแ แแ 000 แแแแแแจแแ แแแฃแแ แฐแแกแขแ. แแแฃแชแแแแ แแ แแแขแแแ แแคแแฃแแ แแแแคแแแฃแ แแชแแแแ แแแแแแแแแแ 90 แฐแแกแขแแ, แแแฃ แกแแแ แแแก แแแแฎแแแแแแ 816%.
- 4818 แแแฃแชแแแแแ MITM-แแ
- 733 แแแฃแชแแแแแ แกแ แฃแแ TLS แแแจแแคแแ แแก แแแแแ แ
- 912 แแแฃแชแแแแแ TLS แแแฌแแแแแ แแแ แแแจแแคแแ แแก แแแแแ แ
898 แกแแแขแ แกแ แฃแแแแ แฆแแแ แฐแแแแ แแแแกแแแแก, แแแฃ แแกแแแ แแซแแแแแแ แแแ แ แกแแ แแแขแแแแก แแแแฅแชแแแก แกแแจแฃแแแแแแก, แฎแแแ 977 แกแแแขแ แแขแแแ แแแแ แจแแแแแ แกแ แชแฃแแแ แแแชแฃแแ แแแแ แแแแแแแ, แ แแแแแแแแแแช แแแแแแแกแฎแแแแก แจแแฃแซแแแ แฃแ แแแแ แแฅแแแแแแ.
แแแแแแแแ แแแ แฎแแแก แฃแกแแแแแ, แ แแ 898 โแกแ แฃแแแ แแแแแ แแแแขแแ แแแฃแโ แ แแกแฃแ แกแแแก แจแแ แแก แแ แแก แแแแแแ แแแฆแแแแแแ, แคแแแแแกแฃแ แ แกแแ แแแกแแแ แแ แกแฎแแ แแแแ แกแแแขแแแ. 660 แกแแแขแแแแ 898 แฉแแแแขแแแ แแแแก แแแ แ แกแแ แแแขแแแก แแแฃแชแแแแ แฐแแกแขแแแแกแแแ: แแก แแ แแก แกแแคแ แแฎแแก แแแแแแ แ แฌแงแแ แ. แแแขแแ แแแแก แแแ แแ, แแแแแแแแ แแแ แแแ แแแแแแแชแแแแแก แกแแ แแฃแแ แแแแจแแแแแแแแแ แแ แแแก แแแแแแกแฎแแแก แแแแแแแ แก.
แแกแแแ แแแคแแฅแกแแ แแ แกแฎแแ แแ แแแแแแแแ: แแแขแแ แแแแชแแแก แคแแ แแแแแก 10%-แก แแฅแแก แแแคแแ แแแชแแแก แฃแกแแคแ แแฎแ แแแแแชแแแแกแแแ แแแแแแจแแ แแแฃแแ แแ แแแแแแแแ, แ แแช แกแแคแ แแฎแแก แฃแฅแแแแก แแแ แแแแแแก แแแแแแแแก, 412 แกแแแขแ แแซแแแแ แฅแฃแฅแ-แคแแแแแแแก แแฆแแแแแแก แแ แกแแกแแแแแก แแแขแแชแแแแก, แฎแแแ 543 แกแแแขแก แแฅแแแแแแแแ แแแ แแแแแแกแฎแแ แฅแฃแฅแแแแแก แแแแแแแแแแแ (แฅแแแแแแแแแแแก แแแจแแแแแแ). .
แแ แแแแแแ แแก แแ แแก, แ แแ แแแแ แฌแแแแจแ SSL / TLS แแ แแขแแแแแแแกแ แแ แแ แแแ แแแฃแ แฃแแ แฃแแแแแงแแคแแกแจแ
แฒ แแแแแแแแแ แแแฃแแ แแแ แแแแขแ แแแ
แแ แแแแ แแ แแก แแคแแชแแแแฃแ แแ แแแแขแแแชแแแฃแแ แแ แจแแแแแฎแแแแฃแแ HTTPS-แแก แ แแแแแแแแแแฃแแ แแแ แแแแขแ แแแแก แกแแแแ. แฒแกแ,
แแแแแแแแ แแแ แ แแแแแ
แฃแซแแแแแกแ แแฎแแ แแแญแแ แแแ แแแแแแขแแแ: Firefox 27, Chrome 30, IE 11 Windows 7-แแ, Edge, Opera 17, Safari 9, Android 5.0 แแ Java 8-แแ
server {
listen 80 default_server;
listen [::]:80 default_server;
# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /path/to/signed_cert_plus_intermediates;
ssl_certificate_key /path/to/private_key;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# modern configuration. tweak to your needs.
ssl_protocols TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
resolver <IP DNS resolver>;
....
}
แกแแจแฃแแแ แแฎแแ แแแญแแ แ
แฃแซแแแแแกแ แแฎแแ แแแญแแ แแแ แแแแแแขแแแ: Firefox 1, Chrome 1, IE 7, Opera 5, Safari 1, Windows XP IE8, Android 2.3, Java 7
server {
listen 80 default_server;
listen [::]:80 default_server;
# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /path/to/signed_cert_plus_intermediates;
ssl_certificate_key /path/to/private_key;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
ssl_dhparam /path/to/dhparam.pem;
# intermediate configuration. tweak to your needs.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
resolver <IP DNS resolver>;
....
}
แซแแแแ แแฎแแ แแแญแแ แ
แฃแซแแแแแกแ แแฎแแ แแแญแแ แแแ แแแแแแขแแแ: Windows XP IE6, Java 6
server {
listen 80 default_server;
listen [::]:80 default_server;
# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /path/to/signed_cert_plus_intermediates;
ssl_certificate_key /path/to/private_key;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
ssl_dhparam /path/to/dhparam.pem;
# old configuration. tweak to your needs.
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:HIGH:SEED:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!RSAPSK:!aDH:!aECDH:!EDH-DSS-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!SRP';
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
resolver <IP DNS resolver>;
....
}
แ แแแแแแแแแ แแแฃแแแ แงแแแแแแแแก แแแแแแงแแแแ แกแ แฃแแ แจแแคแ แฃแแ แแแแแแแฅแขแ แแ OpenSSL-แแก แฃแแฎแแแกแ แแแ แกแแ. แกแแ แแแ แแก แแแ แแแแขแ แแแจแ แจแแคแ แแแแก แแแแ แแแ แแแแกแแแฆแแ แแแก แแ แแแ แแขแแขแก, แ แแแแแจแแช แแกแแแ แแแแแแงแแแแแแ, แแแแแแขแแก แแแ แแแแขแ แแแแแแ แแแแแแแแแแ แ.
แแแแแแ แแฉแแแแแแก, แ แแ แกแแแแแ แแกแ แแ แแ แแก แแฎแแแแ HTTPS แกแแ แแแคแแแแขแแก แแแงแแแแแ. โแแแฃแฎแแแแแแ แแแแกแ, แ แแ แฉแแแ แแ แแแฃแจแแแแ แฅแฃแฅแ-แคแแแแแแก แแกแ, แ แแแแ แช แแแแก 2005 แฌแแแก แแแแแแแแแแ แแ โแฆแแ แกแแฃแแ TLSโ แฉแแแฃแแแแ แแแ แแแฎแแ, แแฆแแแฉแแแ, แ แแ แแก แซแแ แแแแแ แแแแแแแขแแแ แกแแแแแ แแกแ แแ แแ แแก แซแแแแแ แแแแฃแแแ แฃแแ แกแแแขแแแแก แแแกแแแชแ แแ แแแแ แ แแแแแแแแแก แฃแแ แฃแแแแแกแแงแแคแแ.
แฌแงแแ แ: www.habr.com