Facebook加入
LINE加入
2021/12/25
承認吧,你的 HTTPS 其實不太安全
網站並不是用了 HTTPS 就一定安全,隨著電腦運算速度與 Hack 技術的進步,很多早期的 SSL 加密模式已經開始浮現漏洞,讓 Hacker 可以在比較合理的時間解密 HTTPS 封包,像是 SSL v2/v3 等等比較老舊的加密模式,因此建議直接由 Web Server 關閉禁止使用這些脆弱的加密方式。至少要使用 TLS 1.0 以上的加密協定,TLS 1.2 更好但是會犧牲 IE 6 這個老舊瀏覽器的支援性。
透過 sslscan 掃描 SSL 加密方式
想要測試某個網站啟用哪些 SSL 協定,可以透過 sslscan 這個工具 (GitHub) 達成,編譯與操作如下:
先安裝編譯環境需要的套件
sudo apt-get install build-essential git zlib1g-dev
sudo apt-get build-dep openssl
從 GitHub 下載 Source Cose 編譯安裝
git clone https://github.com/rbsec/sslscan
cd sslscan
make static
執行 sslscan 測試網站
./sslscan blog.toright.com:443
執行後會回應以下報告,可以看出這個網站的 HTTPS 提供了哪些加密協定?
網路上還有一個線上檢測的服務 Qualys SSL Labs 可以直接告訴你哪些協定是不安全的,而且更新速度很快,有興趣的可以連進去線上測試看看,能拿到 Grade A 算是當下很安全了。
筆記:HAProxy SSL 安全協定建議設定 (2017/07/15 Qualys SSL Labs Grade A)
1
2
3
4
5
|
global
tune.ssl.default-dh-param 2048
ssl-default-bind-options no-sslv3 no-tls-tickets
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS:!RSA-DES-CBC-SHA:!DHE-RSA-3DES-EDE-CBC-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-CAMELLIA256-CBC-SHA:!DHE-RSA-CAMELLIA128-CBC-SHA
|
HAProxy 設定方法如上,需要的人可以參考看看,可以拿到 Grade A。
筆記:Apache SSL 安全協定建議設定 (2017/07/26 Qualys SSL Labs Grade A)
1
2
3
4
5
6
7
8
9
10
11
|
# SSL Options
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite EECDH+AES:AES256-SHA:AES128-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH:!EXP:!SRP:!DSS:!LOW;
SSLVerifyClient none
SSLVerifyDepth 1
SSLOptions +StrictRequire
# Guarantee HTTPS for 180 days including sub domains
Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains"
|
被電爆後補上這個 Blog 的 Apache SSL 設定,Qualys SSL Labs 拿到 Grade A,最高只能 87 分不能再高了.......
熱門推薦
留言回覆
