我正在使用這個 SSL Conf:
SSLCipherSuite ALL:!RSA:!CAMELLIA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SHA1:!SHA256:!SHA384
請幫忙!我無法找到任何解決方案。
當我使用 ssllabs.com 檢查我的網站時,我的密碼始終 <100%。所以,我聽說停用 128 位元密碼可以讓我獲得完整的 %。我希望盡可能安全。
答案1
您可以只列出接受的密碼套件,而不是列出ALL然後刪除您不想要的內容,例如
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
另外,您不應該專注於在 SSL 實驗室測試中獲得 100% A+。沒有100%的安全,只有針對風險的安全。你的風險模型是什麼?專注於測驗甚至可能會給你帶來錯誤的安全感。測驗最有用的部分在評分之後開始。在那裡,您可以製作一個適當的妥協安全性和相容性之間。您是否願意失去使用不支援您的任何密碼套件的舊版瀏覽器的訪客?