我正在运行 Apache 2.2.31,并尝试让 Perfect Forward Secrecy 正常工作。使用 QualysSSL 实验室表明除了 IE 之外的几乎所有浏览器都在使用能够使用前向保密的密码。
我已经验证了在 Apache 配置中SSLHonorCipherOrder设置为on,但我想知道是否有办法从外部测试密码顺序是否强制执行。
SSLLabs 按优先顺序列出了支持的密码,并且与我在配置文件中指定的密码相匹配
答案1
对于体面的 HTTPS 配置分析,您可以使用https://testssl.sh/也一样。它提供了真正高质量的整体 HTTPS 状态信息。
testssl https://yoursite.com
为了检查您要求的配置 - 在输出中搜索以下检查:
Testing server preferences
Has server cipher order? nope (NOT ok)
或者
Testing server preferences
Has server cipher order? yes (OK)
答案2
Nmap EnumCipher 脚本可以帮助你解决这个问题
nmap --script ssl-enum-ciphers -p
我还将 SSLHonorCipherOrder 设置为开启,但它显示“密码首选项:客户端”
我在寻找答案的时候偶然发现了这个老问题