Zi 字媒體

承認吧，你的 HTTPS 其實不太安全 網站並不是用了 HTTPS 就一定安全，隨著電腦運算速度與 Hack 技術的進步，很多早期的 SSL 加密模式已經開始浮現漏洞，讓 Hacker 可以在比較合理的時間解密 HTTPS 封包，像是 SSL v2/v3 等等比較老舊的加密模式，因此建議直接由 Web Server 關閉禁止使用這些脆弱的加密方式。至少要使用 TLS 1.0 以上的加密協定，TLS 1.2 更好但是會犧牲 IE 6 這個老舊瀏覽器的支援性。 透過 sslscan 掃描 SSL 加密方式 想要測試某個網站啟用哪些 SSL 協定，可以透過 sslscan 這個工具 (GitHub) 達成，編譯與操作如下： 先安裝編譯環境需要的套件 sudo apt-get install build-essential git zlib1g-dev sudo apt-get build-dep openssl 從 GitHub 下載 Source Cose 編譯安裝 git clone https://github.com/rbsec/sslscan cd sslscan make static 執行 sslscan 測試網站 ./sslscan blog.toright.com:443 執行後會回應以下報告，可以看出這個網站的 HTTPS 提供了哪些加密協定？ 網路上還有一個線上檢測的服務 Qualys SSL Labs 可以直接告訴你哪些協定是不安全的，而且更新速度很快，有興趣的可以連進去線上測試看看，能拿到 Grade A 算是當下很安全了。 筆記：HAProxy SSL 安全協定建議設定 (2017/07/15 Qualys SSL Labs Grade A) 1 2 3 4 5 global       tune.ssl.default-dh-param  2048     ssl-default-bind-options no-sslv3 no-tls-tickets     ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS:!RSA-DES-CBC-SHA:!DHE-RSA-3DES-EDE-CBC-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-CAMELLIA256-CBC-SHA:!DHE-RSA-CAMELLIA128-CBC-SHA HAProxy 設定方法如上，需要的人可以參考看看，可以拿到 Grade A。 筆記：Apache SSL 安全協定建議設定 (2017/07/26 Qualys SSL Labs Grade A) 1 2 3 4 5 6 7 8 9 10 11 # SSL Options SSLEngine on SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on SSLCipherSuite EECDH+AES:AES256-SHA:AES128-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH:!EXP:!SRP:!DSS:!LOW; SSLVerifyClient none SSLVerifyDepth 1 SSLOptions +StrictRequire   # Guarantee HTTPS for 180 days including sub domains Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains" 被電爆後補上這個 Blog 的 Apache SSL 設定，Qualys SSL Labs 拿到 Grade A，最高只能 87 分不能再高了....... 分享到 Twitter(在新視窗中開啟) 按一下以分享至 Facebook(在新視窗中開啟) 分享到 LinkedIn(在新視窗中開啟) 點這裡寄給朋友(在新視窗中開啟) 按一下即可分享至 Skype(在新視窗中開啟) 分享到 Reddit(在新視窗中開啟) 分享到 Tumblr(在新視窗中開啟) 按一下以分享到 Telegram(在新視窗中開啟)