螢幕截圖:使用具有基本配置的 SSL 憑證運行 Wowza 的伺服器
我使用預設配置從 SSLLabs 獲得此結果(請參閱螢幕截圖)。我可以更改配置的唯一位置可能是 VHost.xml,我可以在其中配置以下項目:
<SSLConfig>
<KeyStorePath></KeyStorePath>
<KeyStorePassword>[REMOVED]</KeyStorePassword>
<KeyStoreType>JKS</KeyStoreType>
<DomainToKeyStoreMapPath>${com.wowza.wms.context.VHostConfigHome}/conf/jksmap.txt</DomainToKeyStoreMapPath>
<SSLProtocol>TLS</SSLProtocol>
<Algorithm>SunX509</Algorithm>
<CipherSuites></CipherSuites>
<Protocols></Protocols>
</SSLConfig>
我讀了這個https://www.wowza.com/docs/how-to-improve-ssl-configuration,但我幫不了什麼忙。
問題:我可以在“密碼套件”和“協議”項目中添加什麼以獲得更新的 SSL 配置?或者我可以在哪裡閱讀相關內容?
答案1
您提供的文檔連結沒有提及所使用的伺服器軟體。但從記錄的訊息中我得出結論它理解常見的 OpenSSL 術語。
我在 nginx 中使用以下設定獲得了 A 到 A+ 評級:
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH !DHE !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_protocols "TLSv1 TLSv1.1 TLSv1.2";
(也許您必須提供逗號分隔的清單。取決於伺服器軟體。)
這應該足以獲得 B 評級。
我還使用以下語句:
ssl_prefer_server_ciphers on;
這可以防止客戶端降低安全性。希望您的提供者預設執行此操作,因為我沒有看到您可以在您發布的配置中設定的選項。
如果您可以另外實施HSTS您可以將評級提高到 A+。實作 HSTS 意味著傳遞如下 HTTP 標頭:
Strict-Transport-Security: max-age=31536000; includeSubDomains
這使得現代瀏覽器拒絕與在過去 31,536,000 秒內發出此標頭的伺服器建立不安全的連線。