测试工具https://www.ssllabs.com/ssltest/index.html告诉我我的服务器正在提供/支持:
SSL_RSA_WITH_DES_CBC_SHA (0x9) WEAK 56
SSL_DHE_RSA_WITH_DES_CBC_SHA (0x15) DH 1024 位 (p: 128, g: 128, Ys: 128) FS WEAK 56
RC4 是 不理想
至少这两个弱密码。我想只支持强密码。我试过指定
ssl.cipher-list = "HIGH:MEDIUM:!ADH"
但这没有帮助。我该如何告诉 lighthttpd 不要对 SSL 使用弱密码?
如果我还能同时解决“前向保密(实验性)不理想”的问题,那就太好了。
答案1
答案2
有关如何构建正确的密码套件配置的一般方法/教程,您可能需要查看这里: http://www.skytale.net/blog/archives/22-SSL-cipher-setting.html
然而,作者似乎并没有注意实现 DHE 密码套件;您将需要这些 DHE 密码才能为您的 SSL 连接提供前向保密 (FS)。
有关包括 DHE 的“现成密码套件配置”,请查看此处。似乎此配置也已测试可与一些浏览器和操作系统设置配合使用: https://github.com/pfsense/pfsense/pull/683
附言:请注意,无论 FS 是否与您的连接一起工作,SSLlabs 的消息“前向保密(实验性)不理想”似乎都会显示出来,所以暂时不要太在意那条消息。