我们有一个适用于所有浏览器和 36.0.1 之前的 Firefox 的 Web 应用程序
已经完成了所有典型的事情,清除缓存,重新安装 ff 等。还测试了不同位置的多台不同的机器。
我们的证书是最新的,但此站点目前仅支持 TLS 1.0 版,这是一个传统数据中心,大多数人都在使用新平台,它在那里可以正常工作……它有 TLS 1.1 和 1.2,但似乎仍然应该正常工作?它允许安全连接到第一个页面,然后当您从那里执行应用程序时,会返回“安全连接重置”。我也可以看到来自我们系统的第一个 pkt,但没有其他信息。与以前一样,它可以与最新版本之前的所有其他浏览器和 Firefox 一起使用。
SSLLabs 的报告:
Prefix handling Both (with and without WWW)
Valid from Mon Jun 04 17:00:00 PDT 2012
Valid until Wed Aug 05 05:00:00 PDT 2015 (expires in 4 months and 16 days)
Key RSA 2048 bits (e 65537)
Weak key (Debian) No
Issuer DigiCert High Assurance CA-3
Signature algorithm SHA1withRSA WEAK
Extended Validation No
Revocation information CRL, OCSP
Revocation status Good (not revoked)
Trusted Yes
Additional Certificates (if supplied)
Certificates provided 3 (4322 bytes)
Chain issues Contains anchor
#2
Subject DigiCert High Assurance CA-3
Fingerprint: a2e32a1a2e9fab6ead6b05f64ea0641339e10011
Valid until Sat Apr 02 17:00:00 PDT 2022 (expires in 7 years)
Key RSA 2048 bits (e 65537)
Issuer DigiCert High Assurance EV Root CA
Signature algorithm SHA1withRSA WEAK
#3
Subject DigiCert High Assurance EV Root CA In trust store Fingerprint: 5fb7ee0633e259dbad0c4c9ae6d38f1a61c7dc25
Valid until Sun Nov 09 16:00:00 PST 2031 (expires in 16 years and 7 months)
Key RSA 2048 bits (e 65537)
Issuer DigiCert High Assurance EV Root CA Self-signed
Signature algorithm SHA1withRSA Weak, but no impact on root certificate
Certification Paths
(path# not provided)
#1 Sent by server (not provided)
. Fingerprint: 8391780451d5684847681c413f81d5689a669ddd
. RSA 2048 bits (e 65537) / SHA1withRSA WEAK SIGNATURE
#2 Sent by server DigiCert High Assurance CA-3
. Fingerprint: a2e32a1a2e9fab6ead6b05f64ea0641339e10011
. RSA 2048 bits (e 65537) / SHA1withRSA WEAK SIGNATURE
#3 Sent by server DigiCert High Assurance EV Root CA Self-signed
. In trust store Fingerprint: 5fb7ee0633e259dbad0c4c9ae6d38f1a61c7dc25
. RSA 2048 bits (e 65537) / SHA1withRSA
. Weak or insecure signature, but no impact on root certificate Configuration
Protocols
TLS 1.2 No
TLS 1.1 No
TLS 1.0 Yes
SSL 3 No
SSL 2 No
Cipher Suites (SSL 3+ suites in server-preferred order; deprecated and SSL 2 suites always at the end)
TLS_RSA_WITH_RC4_128_MD5 (0x4) WEAK 128
TLS_RSA_WITH_RC4_128_SHA (0x5) WEAK 128
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
答案1
虽然我不是专家,但我最近配置了一个域名以在 SSLLabs 上获得 A+ 评级,所以我一直在努力。
你有两个 RC4 套件,分别是已禁用作为 Firefox 36+ 的后备方案。默认密码套件对于 FF36 来说:
C02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 N/A: AES+GCM Not in TLS1.0
C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 N/A: AES+GCM Not in TLS1.0
C00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * N/A: DSA and ECC
C009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * N/A: DSA and ECC
C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * N/A:?+FS +ECC
C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * N/A:?+FS +ECC
0033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA * +FS RFC3268:extends TLS1.0
0032 TLS_DHE_DSS_WITH_AES_128_CBC_SHA Removed in FF37
0039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA * +FS RFC3268:extends TLS1.0
002F TLS_RSA_WITH_AES_128_CBC_SHA 4th choice above (no FS)
0035 TLS_RSA_WITH_AES_256_CBC_SHA 5th choice above (no FS)
000A TLS_RSA_WITH_3DES_EDE_CBC_SHA 3rd choice above (actually 112 bits)
(*)这些都增加了前向保密性。我不认为 Digicert 在您使用的链中包含 ECC(他们的锁链),但可以请求。联系方式在此DigiCert ECC 信息页面。
现在,我认为您应该删除 RC4,添加套件 0033 和 0039,并更改服务器显示它们的顺序,以便它们与 Firefox 的请求相匹配。我愿意接受纠正。
笔记:
- 密码套件列表及其含义。
- FF 暂时出现问题第二次尝试时返回 RC4但可能不会影响你。
- SHA1 已被弃用,CBC 密码可能容易受到攻击Lucky13侧信道定时攻击(纸作者:Nadhem AlFardan 和 Kenny Paterson)以及兄弟脚本检测攻击(github 上的 Liam Randall)。
- 截至 2015 年 3 月 19 日,SSLLabs 仅测试Firefox 35。
- 其他供应商免费提供 ECC 和 DSA;不链接到供应商,因为我认为这是不受欢迎的。