如何部署SSL證書？雖然現(xiàn)在應(yīng)用https的網(wǎng)站越來越多，但其中有不少沒有完全正確部署SSL證書，這里為大家推薦安全有效的證書部署方法，一起來學(xué)習(xí)下正確的部署方法吧。

不用不安全的SSL/TLS版本

SSL 2于1994年11月發(fā)布，有嚴(yán)重的弱點(diǎn)，被認(rèn)為是失敗的協(xié)議。

SSL 3于1995年12月發(fā)布，存在POODLE攻擊漏洞。

TLS 1.0 于1999年1月發(fā)布，存在BEAST攻擊（TLS1.0及更早版本的可預(yù)見的初始化向量漏洞）漏洞。

上面這些協(xié)議版本存在嚴(yán)重安全問題，絕對不能使用。

HSTS 頭部署

HTTP嚴(yán)格傳輸，配置瀏覽器對整個域名空間使用HTTPS來加密。在使用HSTS之后，所有與網(wǎng)站的不安全通信都是不允許的。這一目標(biāo)通過自動把明文鏈接轉(zhuǎn)換成安全鏈接來實(shí)現(xiàn)。一個額外的特性是不允許用戶繞過證書警告（證書警告是中間人攻擊的標(biāo)志，而研究表明大多數(shù)用戶都會無視警告，所以最好永遠(yuǎn)禁止用戶這么做）。

HPKP 頭部署

互聯(lián)網(wǎng)的信任機(jī)制完全依賴于CA廠商頒發(fā)的證書，而任意一個CA廠商都可以簽發(fā)一個域名的證書，導(dǎo)致攻擊者可以從CA廠商開始入手。因此，需要使用白名單的方式來選擇信任的CA，公鑰扎釘public key pinning技術(shù)的出現(xiàn)，可以允許你強(qiáng)制指定簽發(fā)證書的CA，只有指定CA為你的域名簽發(fā)的證書才能使用。

以上是為大家分享的正確部署ssl證書的方法，選擇無憂主機(jī)網(wǎng)站申請SSL證書，可提供免費(fèi)一對一的證書技術(shù)部署支持，如果用戶遇到的問題不能解決，可通過無憂主機(jī)客服尋求幫助，免除后顧之憂。證書申請的鏈接

本文地址：http://www.love62.cn/news/31300.html