在 Windows Server 2008 R2 上,我可以通过执行以下操作为网站强制实施 128 位 SSL:
appcmd set config "Default Web Site" -section:access -sslFlags:Ssl,Ssl128 -commit:apphost
这样做有什么坏处吗?有什么理由不这样做,或者有什么好理由总是这样做?
答案1
没有理由不这样做,除非你知道你的客户使用的是老式或受政府限制的浏览器,无法进行 128 位加密。在 2012 年,你可能不会这么做。
答案2
这基本上是安全性和性能之间的权衡。128 位密码将提供比 256 位密码更好的性能(并发性),但安全性会降低。但一般来说,128 位密码具有有效的安全性。
答案3
自 2006-2008 年以来,大多数浏览器都支持至少一种 256 位密码。您还不能假设 256 位密码适用于大众(尽管此时您会屏蔽掉极少数人),但您可以放心地假设目前支持 128 位密码。
此外,目前有 4 种不同的 128 位密码被广泛实施(RC4、3DES、AES 和 Camellia)。每种密码都有其优缺点。RC4 是最快的,大概最不安全。3DES 存在各种问题,我认为应该禁用。AES 和 Camellia 相当安全,尽管 FIPS 目前要求使用 AES。