百度正式开放https站点收录,启用HTTPS准备好了吗?

百度站长平台今日发布公告,称将正式开放对HTTPS站点的收录。此前,百度搜索引擎并不主动抓取https网页,导致大部分https网页的无法收录。

开放收录https站点的公告,这意味着https站点不再需要做任何额外的工作,就能被百度抓取。

公告详情:

百度此举无疑是广大https网站站长的福音,百度在推出全站HTTPS安全加密服务后,又正式开放收录https站点功能,正逐日对https “另眼相看”,在网络充斥着大量欺诈、非法恶意获取网络信息的今天,更安全HTTPS无疑必将成为明日主流!

HTTPS恒久远,一朝开启永流传!

本文链接地址:https://www.chinassl.net/ssl_industry_news/n582.html

OpenSSL 发布多个更新版本,修复 DoS 漏洞

OpenSSL 发布了更新版本 —— 1.0.2a, 1.0.1m, 1.0.0r 和 0.9.8zf ,这些版本主要是定位 12 个缺陷,但并非所有 OpenSSL 版本都受这些问题影响。

这 12 个漏洞中最严重的是 CVE-2015-0291 ,该漏洞可导致 DoS 拒绝服务攻击,这个漏洞只影响 OpenSSL 1.0.2 分支。

如果客户端连接到一个使用 OpenSSL 1.0.2 的服务器上,并使用无效的签名算法扩展进行再次协商,那么将会触发一个删除空指针的问题,详情请看 OpenSSL 项目的 安全建议

OpenSSL 项目成员 Mark Cox 在其博客解释到:攻击者可以利用这个漏洞来进行拒绝服务攻击。不过存在该漏洞的目标数量有限,因为 OpenSSL 1.0.2 刚发布一个月,很多服务器并没有使用这个版本。

OpenSSL 同时维护了多个不同的主要版本,OpenSSL 1.0.1 的用户如果不需要一些新特性的话,无需升级到 1.0.2 版本,因为 1.0.1 版本也在继续维护中。

Source: pcadvisor

相关链接

SSL证书在线自助申请-CHINASSL

1.登录中国证书CHINASSL官方网站https://www.chinassl.net,选择您需要的SSL证书产品

中国证书CHINASSL网站

2.下面以Comodo Positive SSL 证书为例,演示整个SSL证书够买流程。点击立刻够买

Comodo Positive SSL 证书

3.把您生成好的CSR文件粘贴到CSR文本框里面,输入您的域名管理员邮箱,点击添加到购物车

SSL证书在线够买流程

如果您还没有生成CSR文件,请点击CSR在线生成工具,生成CSR文件

注意:用户注意到在CHINASSL.NET够买证书会跳转到亚狐空间YAHUHOST,这里请不要担心,中国证书CHINASSL.NET是亚狐信息科技有限公司旗下网站,为了方便管理,所以使用了统一的客户管理系统,够买全程使用SSL加密,请放心够买。

4.信息确认无误后,点击结账

SSL证书在线够买流程

5.新客户填写用户资料,选择支付方式,点击完成订购;已有亚狐空间YAHUHOST帐号的用户,输入您的帐号密码后,点击完成订购

SSL证书在线够买流程

6.支付账单,关于支付方式详情见 在线支付 | 转账汇款

SSL证书在线够买流程

7.返回用户中心,点击导航菜单我的服务我的服务选项

SSL证书在线够买流程

8.点击证书后面的查看详情

SSL证书在线够买流程

9.点击进入SSL证书配置向导

SSL证书在线够买流程

10.填写完成所有信息,点击点此继续>>

SSL证书在线够买流程

11.确认系统识别出来的CSR信息与您申请证书的信息一致,并选择系统列出的有效证书审批者邮箱,点击点此继续>>

SSL证书在线够买流程

12.配置完成,看到此页面表明您的证书已经配置完成,稍后你的验证邮箱会收到一封来自证书颁发机构的邮件。

SSL证书在线够买流程

13.登录您的验证邮箱,检查是否收到来自证书颁发机构的邮件,收到后打开邮件,按说明点击邮件里面的链接即可完成验证。

SSL证书在线够买流程

14.复制验证代码,点击验证链接

SSL证书在线够买流程

15.粘贴验证代码,点击NEXT

SSL证书在线够买流程

16.出现Thank you页面表明已经完成验证,点击Close Window关闭该页面

SSL证书在线够买流程

至此证书已经成功够买并完成验证,域名型证书一般很快就可以签发。

查询证书

证书签发后去哪里可以查询到证书呢,这里有2种方式:

第一种

登录到你的够买邮箱(用于亚狐空间YAHUHOST登录用的邮箱)查询证书

SSL证书在线够买流程

第二种

1.登录亚狐空间YAHUHOST用户中心,点击导航菜单我的服务我的服务选项

SSL证书在线够买流程

2.点击证书后面的查看详情

SSL证书在线够买流程

3.把SSL证书与中级证书CA文件复制粘贴到文本编辑器里面,保存成后缀为.crt的文件即可使用了

SSL证书在线够买流程

其它在线工具

apache mod_gnutls实现一个独立IP安装多个SSL证书

在前篇《nginx 同一个IP上配置多个HTTPS主机》说到了nginx下,多HTTPS虚拟主机的配置。那么在apache的环境下该如何配置呢?利用的原理的都是同一个,也就是SNI。基于域名的虚拟主机,即共享同一个IP地址和端口的HTTPS虚拟主机。

SNI—服务器名称指示,是一个TLS的扩展,它使得启用SSL的基于域名的虚拟主机的配置成为可能。打破了每个HTTPS的虚拟主机需要一个IP地址的要求。因此,成本大大降低,因为所有的HTTPS虚拟主机可以共享相同的IP地址和端口,使HTTPS Web服务的更简单。

在apache环境下,需要使用mod_gnutls来实现同一个IP上配置多个HTTPS主机。下面来看看实现过程:

mod_gnutls的网址参见:https://mod.gnutls.org

1. 安装mod_gnutls

# yum install httpd-devel gnutls-devel
# wget http://www.outoforder.cc/downloads/mod_gnutls/mod_gnutls-0.2.0.tar.bz2
# tar -xjvf mod_gnutls-0.2.0.tar.bz2
# cd mod_gnutls-0.2.0
# ./configure --prefix=/usr
# make

如果要安装高版本的gnutls的话,需要先安装相对应的依赖包libnettle gmplib。下载地址:http://www.gnutls.org/download.html ftp://ftp.gnutls.org/gcrypt/gnutls

2. apache加载mod_gnutls模块

# cp mod_gnutls-0.2.0/src/.libs/libmod_gnutls.so /usr/lib/httpd/modules/mod_gnutls.so
# cp mod_gnutls-0.2.0/data/{dh,rsa}file /etc/httpd/conf/

mod_gnutls模块依赖dhfile和rsafile文件.

3. 配置httpd.conf

Listen 10.1.1.22:443
LoadModule gnutls_module modules/mod_gnutls.so
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
GnuTLSCache dbm "/var/cache/mod_gnutls_cache"
GnuTLSCacheTimeout 300
NameVirtualHost 10.1.1.22:443

创建回话缓存目录

# mkdir -m 0700 /var/cache/mod_gnutls_cache
# chown nobody.nobody /var/cache/mod_gnutls_cache

4. 配置虚拟主机

<VirtualHost 10.1.1.22:443>
    ServerName www.chinassl.net:443
    GnuTLSEnable on
    GnuTLSCertificateFile ./ssl/www.chinassl.net.public.cer
    GnuTLSKeyFile ./ssl/www.chinassl.net.private.key
    DocumentRoot "/data/wwwroot/www.chinassl.net/webroot"
</VirtualHost>

<VirtualHost 10.1.1.22:443>
    ServerName www.yahuhost.com:443
    GnuTLSEnable on
    GnuTLSCertificateFile ./ssl/www.yahuhost.com.public.cer
    GnuTLSKeyFile ./ssl/www.yahuhost.com.private.key
    DocumentRoot "/data/wwwroot/www.yahuhost.com/webroot"
</VirtualHost>

这样访问每个虚拟主机都正常。

参考文档:http://www.g-loaded.eu/2007/08/10/ssl-enabled-name-based-apache-virtual-hosts-with-mod_gnutls/

原文链接:http://www.ttlsa.com/apache/multi-https-virtual-host-apache-mod_gnutls/

nginx 同一个IP上为多个域名配置安装SSL证书

最近公司域名更变,同时,又要新旧域名同时运行。 那么,对于https的域名在同一个IP上如何同时存在多个虚拟主机呢?遂,查看了下nginx手册,有这么一段内容,如下:

如果在同一个IP上配置多个HTTPS主机,会出现一个很普遍的问题:

server { listen 443; server_name www.abc.com; ssl on; ssl_certificate www.abc.com.crt; ... } server { listen 443; server_name www.123.com; ssl on; ssl_certificate www.123.com.crt; ... }

使用上面的配置,不论浏览器请求哪个主机,都只会收到默认主机www.abc.com的证书。这是由SSL协议本身的行为引起的——先建立SSL连接,再发送HTTP请求,所以nginx建立SSL连接时不知道所请求主机的名字,因此,它只会返回默认主机的证书。

最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址:

server { listen 192.168.1.1:443; server_name www.abc.com; ssl on; ssl_certificate www.abc.com.crt; ... } server { listen 192.168.1.2:443; server_name www.123.com; ssl on; ssl_certificate www.123.com.crt; ... }

那么,在同一个IP上,如何配置多个HTTPS主机呢?

nginx支持TLS协议的SNI扩展(Server Name Indication,简单地说这个扩展使得在同一个IP上可以以不同的证书serv不同的域名)。不过,SNI扩展还必须有客户端的支持,另外本地的OpenSSL必须支持它。

如果启用了SSL支持,nginx便会自动识别OpenSSL并启用SNI。是否启用SNI支持,是在编译时由当时的 ssl.h 决定的(SSL_CTRL_SET_TLSEXT_HOSTNAME),如果编译时使用的OpenSSL库支持SNI,则目标系统的OpenSSL库只要支持它就可以正常使用SNI了。

nginx在默认情况下是TLS SNI support disabled。

启用方法:

需要重新编译nginx并启用TLS。步骤如下:

# wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz # tar zxvf openssl-1.0.1e.tar.gz # ./configure --prefix=/usr/local/nginx --with-http_ssl_module \ --with-openssl=./openssl-1.0.1e \ --with-openssl-opt="enable-tlsext" # make # make install

查看是否启用:

# /usr/local/nginx/sbin/nginx -V TLS SNI support enabled

这样就可以在 同一个IP上配置多个HTTPS主机了。

实例如下:

server { listen 443; server_name www.chinassl.net; index index.html index.htm index.php; root /data/wwwroot/www.chinassl.net/webroot; ssl on; ssl_certificate "/usr/local/nginx/conf/ssl/www.chinassl.net.public.cer"; ssl_certificate_key "/usr/local/nginx/conf/ssl/www.chinassl.net.private.key"; ...... } server { listen 443; server_name www.chinassl.net; index index.html index.htm index.php; root /data/wwwroot/www.chinassl.net/webroot; ssl on; ssl_certificate "/usr/local/nginx/conf/ssl/www.chinassl.net.public.cer"; ssl_certificate_key "/usr/local/nginx/conf/ssl/www.chinassl.net.private.key"; ...... }

这样访问每个虚拟主机都正常。

原文链接: http://www.ttlsa.com/html/4288.html

SNI实现一个IP安装多个SSL证书

一. 介绍
早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。

但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域名都可以认证,但如果你还有一个yourdomain.net的域名,那就不行了。

在HTTP协议中,请求的域名作为主机头(Host)放在HTTP Header中,所以服务器端知道应该把请求引向哪个域名,但是早期的SSL做不到这一点,因为在SSL握手的过程中,根本不会有Host的信息,所以服务器端通常返回的是配置中的第一个可用证书。因而一些较老的环境,可能会产生多域名分别配好了证书,但返回的始终是同一个。

既然问题的原因是在SSL握手时缺少主机头信息,那么补上就是了。

SNI(Server Name Indication)定义在RFC 4366,是一项用于改善SSL/TLS的技术,在SSLv3/TLSv1中被启用。它允许客户端在发起SSL握手请求时(具体说来,是客户端发出SSL 请求中的ClientHello阶段),就提交请求的Host信息,使得服务器能够切换到正确的域并返回相应的证书。

要使用SNI,需要客户端和服务器端同时满足条件,幸好对于现代浏览器来说,大部分都支持SSLv3/TLSv1,所以都可以享受SNI带来的便利。

二. nginx / apache 服务器端实现
nginx和apache服务端支持SNI参见:
《nginx 同一个IP上配置多个HTTPS主机》
《apache mod_gnutls实现多HTTPS虚拟主机》

三. 支持SNI的浏览器、服务器、库
Internet Explorer 7 or later, on Windows Vista or higher. Does not work on Windows XP, even Internet Explorer 8.
Mozilla Firefox 2.0 or later
Opera 8.0 or later (the TLS 1.1 protocol must be enabled)
Opera Mobile at least version 10.1 beta on Android[citation needed]
Google Chrome (Vista or higher. XP on Chrome 6 or newer. OS X 10.5.7 or higher on Chrome 5.0.342.1 or newer)
Safari 2.1 or later (Mac OS X 10.5.6 or higher and Windows Vista or higher)
Konqueror/KDE 4.7 or later
MobileSafari in Apple iOS 4.0 or later
Android default browser on Honeycomb or newer
Windows Phone 7[citation needed]
MicroB on Maemo

四. 支持SNI的服务器
Apache 2.2.12 or later using mod_ssl(or alternatively with experimental mod_gnutls)
Cherokee if compiled with TLS support
Versions of lighttpd 1.4.x and 1.5.x with patch, or 1.4.24+ without patch
Nginx with an accompanying OpenSSL built with SNI support
LiteSpeed 4.1 or later
Pound 2.6 or later
Apache Tomcat on Java 7 or later
Microsoft Internet Information Server IIS 8

五. 支持SNI的库
Mozilla NSS 3.11.1 client-side only
OpenSSL
0.9.8f (released 11 Oct 2007) – not compiled in by default, can be compiled in with config option ‘–enable-tlsext’
0.9.8j (released 07 Jan 2009) through 1.0.0 (released 29 March 2010) – compiled in by default
GNU TLS
libcurl / cURL since 7.18.1 (released 30 Mar 2008) when compiled against an SSL/TLS toolkit with SNI support
Python 3.2 (ssl, urllib and httplib modules)
Qt 4.8
Oracle Java 7 JSSE
参考文档:http://blog.hesey.net/2012/02/sni-for-multi-domain-ssl-tls.html

http://serverfault.com/questions/109800/multiple-ssl-domains-on-the-same-ip-address-and-same-port

免费SSL证书 Free SSL

free ssl

 

中国证书CHINASSL 提供2款免费试用SSL证书,试用SSL证书和正式签发的SSL证书功能和兼容性没有任何区别,用户可以用于在申请正式SSL证书前测试服务器环境,模拟SSL证书申请配置流程,免费SSL证书由系统全自动签发,无需人工干预,您可以随时申请试用SSL证书,无需联系客服。目前提供2款免费试用SSL证书产品,一款为COMODO SSL证书,另一款是RapidSSL SSL证书,欢迎用户测试安装!

免费SSL证书申请地址:http://www.chinassl.net/free_ssl/

全球首款多域名通配符SSL证书

在了解什么是多域名通配符SSL证书(Multi-Domain Wildcard SSL)之前,首先給大家介绍多域名证书,也称为SAN证书或UCC证书,多域名证书详细说明如下:

多域名SAN/UCC SSL证书

SAN 证书 – Subject Alternative Name certificates 又称为 UCC 证书– Unified Communication Certificates.

SANs SSL证书允许您在同一张证书中,添加多个个需要保护的"域名"或"服务器"名。这种功能为客户提供了非常大的使用弹性,它使您可以创建一张易于使用和安 装,却又比通配符SSL 证书更安全,完全适合您服务器安全需求的SSL证书。

支持如:Microsoft Exchange Server 2003、Microsoft Exchange 2007 、Microsoft Exchange server2012和 Microsoft Office Communications Sever 2007之类的最新技术的安全应用。

多个顶级域名(FQDNS)

如果您的公司使用不同的顶级域名,如下面所示,可以选择多域名SAN/UCC SSL证书,只需一张证书就可以保护所有域名,安装管理更简单。

  • www.chinassl.net
  • mail.chinassl.net
  • www.中国证书.com
  • www.wantssl.com
  • login.wantssl.net

了解了多域名证书,我们再来了解什么是通配符证书Wildcard SSL,通配符证书详细解释见下面:

通配符Wildcard SSL证书

Wildcard SSL证书英文全称为Wildcard SSL Certificates。通配符 SSL证书可以同时保护一个域名下的所有的子域名网站,比如*.yourdomain.com,对子域名网站是没有数量限制,用户可以随时添加自己的子域名网站。

通配符SSL证书,能够为您获得和管理多个服务器证书时节约时间和费用。通配符 SSL 证书的安装服务器授权许可请查看产品特点,例如:

  • www.yourdomain.com
  • secure.yourdomain.com
  • product.yourdomain.com
  • info.yourdomain.com
  • download.yourdomain.com
  • anything.yourdomain.com

以上所有网站都可以在一张通配符Wildcard SSL证书的保护下,这样您就只需购买和安装一个颁发给 *.yourdomain.com 的通配符 SSL证书就可以为所有子域网站保安全了。

大家了解了什么是多域名证书,又了解了什么是通配符证书,哪到底什么是多域名通配符证书呢?顾名思义,多域名通配符SSL证书(Multi-Domain Wildcard SSL)就是通过技术将多域名证书和通配符证书融合到一起,创建的一种全新SSL证书,这种SSL证书同时支持多域名SAN和通配符Wildcard,这种全新型SSL证书就称为多域名通配符SSL证书(Multi-Domain Wildcard SSL)。

哪这种多域名通配符SSL证书有什么好处?中国证书小编給大家慢慢介绍。咱们还是举例说明下吧,如一个客户的网站同时有3个顶级域名,3个顶级域名每个域名还有很多2级域名,他想申请一张SSL证书可以同时支持3个顶级域名,还有支持下面的2级域名,麻烦来了,据小编了解目前现在市场上大多数SSL证书均无法实现这种功能,唯有全球领先SSL证书颁发机构COMODO率先打破这种僵局,全新推出Multi-Domain Wildcard SSL证书,解决了使用多张证书管理麻烦的难题。

如需详细了解该款全新SSL证书产品,请点击http://www.chinassl.net/comodo_multidomain_wildcard_ssl/

multi-domain-wildcard

comodo2

EV SSL证书与标准SSL证书的区别?

扩展验证EV SSL证书,英文名称为Extended Validation SSL Certificate,是普通SSL证书升级版,应用了普通SSL证书后,浏览器将会出现安全锁型标记,提示消费者网站采用了加密链接技术。而扩展验证EV SSL证书最显著区别特点是绿色地址栏,客户登陆网站时将更加清晰识别网站真实身份。而且在地址栏右侧还会动态显示企业名称和SSL证书签发机构信息,而欺诈钓鱼网站根本无从获得该类SSL证书。建议你们还是申请扩展验证EV SSL证书吧,现在公司一般也都申请扩展验证EV SSL证书了。

GeoTrust SSL证书主要有 5 种: QuickSSL Premium、True Business ID 、True BusinessID Wildcard 与 True Business ID with EV

 

aa

查询GeoTrust SSL证书全系列产品:http://www.chinassl.net/geotrust/