Alexa-แก แแ แ-แแ แแ แกแแฃแแแแแกแ แกแแแขแ (แชแแแขแ แแแฃแ แ แฌแ แ), แแแชแฃแแแ HTTPS-แแ, แฅแแแแแแแแแแแ (แแแชแ แแกแคแแ แ) แแ แแแแแแแแแแฃแแแแแแแ (แแแแ แ), แ แแแแแแ แจแแ แแก แแ แแก แแแฃแชแแแแ (แแแขแแฎแแแ แแแฉแ แแแแแ)
แแฆแแกแแฆแแแแแ, HTTPS แฃแกแแคแ แแฎแ แแแแจแแ แแก แฎแแขแฃแแ แแแฎแแ แแแแแกแแแแ แ แกแแ แแแแฃแแ แกแแแขแแก แกแขแแแแแ แขแฃแแ แแ แแฃแชแแแแแแแ แแขแ แแแฃแขแแช แแ. แแฃ แแแแแ, แแแแฅแแแก แงแแแแ แแแแ แแ แแฃแแแ แ แแฉแแแแแแก แแแคแ แแฎแแแแแแก, แ แแ แแ แแ แแแ แฉแแแ แแแกแแ แแแแคแแแแแชแแแแฃแ แ แแแคแแ แแแชแแแก แแแแแชแแแแก.
แแแแ แแ แแฆแแแฉแแแแแ, แ แแ แแแกแแแแ แแแแแก แแแแจแ "แแแแแแแแแก" แแ แกแแแแแ แงแแแแแแแแก แแ แแซแแแแ แแแชแแแก แแแ แแแขแแแก. แ แแแขแแแแแแแ, Alexa-แ แแฉแแแแ, แ แแ แแแแ แ แแแแแแแ แแฅแแแแแแแแ แแแ แแ แแขแแแฃแ แแแฃแชแแแแแแแก SSL / TLS แแ แแขแแแแแแแจแ, แฉแแแฃแแแแ แแ, แฅแแแแแแแแแแแก แแ แแแแแแแแแแฃแแแแแแแก แกแแจแฃแแแแแแ. แแแแแแแก แแแขแแ แแแแก แแแ แแ, แแแแแแแแ แแแ แแแ แแแแแแแชแแแแแก แกแแ แแฃแแ แแแแจแแแแแแแแแ แแ แแแก แแแแแแกแฎแแแก แแแแแแแ แก.
แแแแแแแก แจแแแแแแแ
แแแแแแ แฉแแแขแแ แแก แแแแแชแแแก แฃแแแแแ แกแแขแแขแแก Ca' Foscari (แแขแแแแ) แแ แแแแแก แขแแฅแแแแฃแ แ แฃแแแแแ แกแแขแแขแแก แแฅแกแแแ แขแแแแ. แแกแแแ แฌแแ แแแแแแแแแ แแแขแแแฃแ แแแแแ แแจแก แฃแกแแคแ แแฎแแแแแกแ แแ แแแแคแแแแแชแแแแฃแ แแแแก 40-แ IEEE แกแแแแแแแฃแแแ, แ แแแแแแช แฉแแขแแ แแแแ 20 แฌแแแก 22-2019 แแแแกแก แกแแ-แคแ แแแชแแกแแแจแ.
แจแแแแฌแแแ Alexa-แก แขแแ 10 HTTPS แกแแแขแ แแ 000 แแแแแแจแแ แแแฃแแ แฐแแกแขแ. แแแฃแชแแแแ แแ แแแขแแแ แแคแแฃแแ แแแแคแแแฃแ แแชแแแแ แแแแแแแแแแ 90 แฐแแกแขแแ, แแแฃ แกแแแ แแแก แแแแฎแแแแแแ 816%.
- 4818 แแแฃแชแแแแแ MITM-แแ
- 733 แแแฃแชแแแแแ แกแ แฃแแ TLS แแแจแแคแแ แแก แแแแแ แ
- 912 แแแฃแชแแแแแ TLS แแแฌแแแแแ แแแ แแแจแแคแแ แแก แแแแแ แ
898 แกแแแขแ แกแ แฃแแแแ แฆแแแ แฐแแแแ แแแแกแแแแก, แแแฃ แแกแแแ แแซแแแแแแ แแแ แ แกแแ แแแขแแแแก แแแแฅแชแแแก แกแแจแฃแแแแแแก, แฎแแแ 977 แกแแแขแ แแขแแแ แแแแ แจแแแแแ แกแ แชแฃแแแ แแแชแฃแแ แแแแ แแแแแแแ, แ แแแแแแแแแแช แแแแแแแกแฎแแแแก แจแแฃแซแแแ แฃแ แแแแ แแฅแแแแแแ.
แแแแแแแแ แแแ แฎแแแก แฃแกแแแแแ, แ แแ 898 โแกแ แฃแแแ แแแแแ แแแแขแแ แแแฃแโ แ แแกแฃแ แกแแแก แจแแ แแก แแ แแก แแแแแแ แแแฆแแแแแแ, แคแแแแแกแฃแ แ แกแแ แแแกแแแ แแ แกแฎแแ แแแแ แกแแแขแแแ. 660 แกแแแขแแแแ 898 แฉแแแแขแแแ แแแแก แแแ แ แกแแ แแแขแแแก แแแฃแชแแแแ แฐแแกแขแแแแกแแแ: แแก แแ แแก แกแแคแ แแฎแแก แแแแแแ แ แฌแงแแ แ. แแแขแแ แแแแก แแแ แแ, แแแแแแแแ แแแ แแแ แแแแแแแชแแแแแก แกแแ แแฃแแ แแแแจแแแแแแแแแ แแ แแแก แแแแแแกแฎแแแก แแแแแแแ แก.
แแกแแแ แแแคแแฅแกแแ แแ แกแฎแแ แแ แแแแแแแแ: แแแขแแ แแแแชแแแก แคแแ แแแแแก 10%-แก แแฅแแก แแแคแแ แแแชแแแก แฃแกแแคแ แแฎแ แแแแแชแแแแกแแแ แแแแแแจแแ แแแฃแแ แแ แแแแแแแแ, แ แแช แกแแคแ แแฎแแก แฃแฅแแแแก แแแ แแแแแแก แแแแแแแแก, 412 แกแแแขแ แแซแแแแ แฅแฃแฅแ-แคแแแแแแแก แแฆแแแแแแก แแ แกแแกแแแแแก แแแขแแชแแแแก, แฎแแแ 543 แกแแแขแก แแฅแแแแแแแแ แแแ แแแแแแกแฎแแ แฅแฃแฅแแแแแก แแแแแแแแแแแ (แฅแแแแแแแแแแแก แแแจแแแแแแ). .
แแ แแแแแแ แแก แแ แแก, แ แแ แแแแ แฌแแแแจแ SSL / TLS แแ แแขแแแแแแแกแ แแ แแ แแแ แแแฃแ แฃแแ แฃแแแแแงแแคแแกแจแ : แแฃแแแแ (CVE-2014-3566), แแฎแแชแ (CVE-2011-3389), แแแแแจแแฃแแ (CVE-2012-4929), แแแ แฆแแแแ (CVE-2013-3587) แแ Heartbleed (CVE-2014-0160). แแแแแแ แแแกแแชแแแแ, แกแแญแแ แแ แ แแแแแแแแ แแแ แแแแขแ แ แกแแ แแแ แแกแ แแ แแแแแแขแแก แแฎแแ แแก, แ แแแ แแแแแแแ แแฅแแแก แแชแแแแแฃแแ แซแแแแ แแแฃแชแแแแ แแแ แกแแแแแก แแแแแงแแแแแ. แแแแ แแ แแก แกแแแแแแ แแ แ แขแ แแแแแแฃแ แ แแ แแชแแแฃแ แแ, แ แแแแแ แแกแแแ แแแ แแแแขแ แแแ แแแแชแแแก แจแแคแ แแแแกแ แแ แแ แแขแแแแแแแแก แคแแ แแ แแแแ แแแแก แแ แฉแแแแก, แ แแช แกแแแแแแ แ แแฃแแ แแแกแแแแแแ. แงแแแแแแแแก แแ แแ แแก แแแแแแ, แ แแแแแ แจแแคแ แฃแแ แแแแแแแฅแขแแแ แแ แแ แแขแแแแแแแ แแแแแแแ โแกแแแแแ แแกแแ แฃแกแแคแ แแฎแแโ.
แฒ แแแแแแแแแ แแแฃแแ แแแ แแแแขแ แแแ
แแ แแแแ แแ แแก แแคแแชแแแแฃแ แแ แแแแขแแแชแแแฃแแ แแ แจแแแแแฎแแแแฃแแ HTTPS-แแก แ แแแแแแแแแแฃแแ แแแ แแแแขแ แแแแก แกแแแแ. แฒแกแ, แแแแแแแแแ แ แแแแแแแแ แแแแคแแแฃแ แแชแแแก แแแ แแแแขแก, แ แแช แแแแแแแแแแฃแแแ แแแชแแแก แกแแญแแ แ แแแแแแ. แแแแแแแแแ, แแฅ แแ แแก แ แแแแแแแแแแฃแแ แแแ แแแแขแ แแแ nginx 1.14.0 แกแแ แแแ แแกแแแแก:
แแแแแแแแ แแแ แ แแแแแ
แฃแซแแแแแกแ แแฎแแ แแแญแแ แแแ แแแแแแขแแแ: Firefox 27, Chrome 30, IE 11 Windows 7-แแ, Edge, Opera 17, Safari 9, Android 5.0 แแ Java 8-แแ
server {
listen 80 default_server;
listen [::]:80 default_server;
# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /path/to/signed_cert_plus_intermediates;
ssl_certificate_key /path/to/private_key;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# modern configuration. tweak to your needs.
ssl_protocols TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
resolver <IP DNS resolver>;
....
}แกแแจแฃแแแ แแฎแแ แแแญแแ แ
แฃแซแแแแแกแ แแฎแแ แแแญแแ แแแ แแแแแแขแแแ: Firefox 1, Chrome 1, IE 7, Opera 5, Safari 1, Windows XP IE8, Android 2.3, Java 7
server {
listen 80 default_server;
listen [::]:80 default_server;
# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /path/to/signed_cert_plus_intermediates;
ssl_certificate_key /path/to/private_key;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
ssl_dhparam /path/to/dhparam.pem;
# intermediate configuration. tweak to your needs.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
resolver <IP DNS resolver>;
....
}แซแแแแ แแฎแแ แแแญแแ แ
แฃแซแแแแแกแ แแฎแแ แแแญแแ แแแ แแแแแแขแแแ: Windows XP IE6, Java 6
server {
listen 80 default_server;
listen [::]:80 default_server;
# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /path/to/signed_cert_plus_intermediates;
ssl_certificate_key /path/to/private_key;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
ssl_dhparam /path/to/dhparam.pem;
# old configuration. tweak to your needs.
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:HIGH:SEED:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!RSAPSK:!aDH:!aECDH:!EDH-DSS-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!SRP';
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
resolver <IP DNS resolver>;
....
}แ แแแแแแแแแ แแแฃแแแ แงแแแแแแแแก แแแแแแงแแแแ แกแ แฃแแ แจแแคแ แฃแแ แแแแแแแฅแขแ แแ OpenSSL-แแก แฃแแฎแแแกแ แแแ แกแแ. แกแแ แแแ แแก แแแ แแแแขแ แแแจแ แจแแคแ แแแแก แแแแ แแแ แแแแกแแแฆแแ แแแก แแ แแแ แแขแแขแก, แ แแแแแจแแช แแกแแแ แแแแแแงแแแแแแ, แแแแแแขแแก แแแ แแแแขแ แแแแแแ แแแแแแแแแแ แ.
แแแแแแ แแฉแแแแแแก, แ แแ แกแแแแแ แแกแ แแ แแ แแก แแฎแแแแ HTTPS แกแแ แแแคแแแแขแแก แแแงแแแแแ. โแแแฃแฎแแแแแแ แแแแกแ, แ แแ แฉแแแ แแ แแแฃแจแแแแ แฅแฃแฅแ-แคแแแแแแก แแกแ, แ แแแแ แช แแแแก 2005 แฌแแแก แแแแแแแแแแ แแ โแฆแแ แกแแฃแแ TLSโ แฉแแแฃแแแแ แแแ แแแฎแแ, แแฆแแแฉแแแ, แ แแ แแก แซแแ แแแแแ แแแแแแแขแแแ แกแแแแแ แแกแ แแ แแ แแก แซแแแแแ แแแแฃแแแ แฃแแ แกแแแขแแแแก แแแกแแแชแ แแ แแแแ แ แแแแแแแแแก แฃแแ แฃแแแแแกแแงแแคแแ. แแแฌแแ แแแแแแก แแแขแแ แแแก. แกแแ แแแ แกแ แแ แแแแแแขแก แจแแ แแก แแ แฎแแก แกแแแแแแแ แแแกแแชแแแแ, แกแแญแแ แแ แงแฃแ แแแฆแแแแ แแแแแขแ แแแแ แแแคแ แแกแขแ แฃแฅแขแฃแ แ แแฅแแแแ แกแแแฃแแแ แ แฅแแแแแแแแแแแแแ แแ แแแกแแแ แแฎแแ แแก แฐแแกแขแแแแแแ, แกแแแแแแแช แแแแฌแแแแแ แกแแแขแแก แจแแแแแ แกแ. แจแแกแแซแแแ แแแแแแ แฃแแ แแงแแก แแฃแแแขแแก แจแแแแแแ แแแกแแแ แแฎแแ แแก แแแแแแแแแกแแแ, แ แแแแแแช แกแแแชแแแแแแแ แแแฃแแแ แแแคแแ แแแชแแแก แฃแกแแคแ แแฎแแแแแจแ.
แฌแงแแ แ: www.habr.com