我托管了一个允许用户使用 HTTP 或 HTTPS 进行连接的网站。默认的 apache 配置会为通过 HTTPS 发出的请求生成一个单独的日志文件,其中包含两个附加信息,即协议(例如 TLSv1)和密码(例如 DHE-RSA-CAMELLIA256-SHA)。我想知道记录这两个额外信息有什么好处,或者我是否应该将其与没有这两列的访问日志合并以方便故障排除。
答案1
为了最大程度地兼容浏览器,Apache 将允许使用多种 HTTPS 协议和密码。
但是,如果您想确保 HTTPS 流量的安全性,则需要禁用其中一些协议(例如 SSLv2)和密码(例如 RC2-CBC-MD5)。尤其是随着时间的推移,一些协议/密码会受到越来越多的攻击。如果可以,浏览器通常会使用更强大的协议/密码进行连接,并且该协议/密码将显示在您的日志中。
潜在的问题是,如果您禁用那些不太安全的协议/密码,并且您的用户群的浏览器不支持您允许的协议/密码,那么浏览您网站的某些人(使用旧 PC 或手机)可能再也无法获得 HTTPS 连接!特别是如果您像 Google 或其他网站一样出于安全原因(例如,为了保护会话 cookie 免受无线嗅探)强迫人们仅使用 HTTPS,这可能会成为一个问题。
您如何知道禁用这些协议是否安全或基本安全?您如何衡量业务风险?如果您记录了用户群使用的实际密码,您可以轻松查看您的客户是否受到影响,或者删除这些协议/密码的访问权限将影响多少百分比的流量。或者至少可以很好地估计这种影响。如果可以,浏览器通常会使用更强大的协议/密码进行连接,并且该协议/密码将显示在您的日志中。
(还有一些更微妙的原因,例如确保您的服务器正在使用您认为的协议/密码,以及出于取证原因,如果存在某些 MITM SSL 降级攻击。)
我对将日志合并或分开没有强烈的意见,但通过单独记录内容,您可以拥有一个专注于允许进行该分析的小日志,而不是让主大日志陷入困境。而且它可能会以不同的频率旋转,等等。