私はこの SSL Conf を使用しています:
SSLCipherSuite ALL:!RSA:!CAMELLIA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SHA1:!SHA256:!SHA384
助けてください!解決策が見つかりません。
ssllabs.com を使用して Web サイトをチェックすると、暗号は常に 100% 未満になります。そこで、128 ビットの暗号を無効にすると、完全な % が得られると聞きました。できるだけ安全にしたいと思っています。
答え1
ALL不要なものをリストアップして削除する代わりに、受け入れ可能な暗号スイートをリストアップするだけで済みます。例:
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
また、SSL Labsテストで100% A+を取ることに集中すべきではありません。100%のセキュリティなど存在せず、リスクに対するセキュリティがあるだけです。あなたのリスクモデルは何ですか?テストに集中すると、誤った安心感を与える可能性があります。テストの最も有用な部分は、採点後から始まります。そこで、適切な妥協セキュリティと互換性のバランス。暗号スイートをサポートしていない古いブラウザを使用している訪問者を失うことをいとわないでしょうか?