最佳实践:Wowza SSL 配置

最佳实践:Wowza SSL 配置

屏幕截图:使用具有基础配置的 SSL 证书运行 Wowza 的服务器

我从使用默认配置的 SSLLabs 获得了此结果(见屏幕截图)。我可以更改配置的唯一地方可能是 VHost.xml,我可以在其中配置以下项目:

<SSLConfig>
    <KeyStorePath></KeyStorePath>
    <KeyStorePassword>[REMOVED]</KeyStorePassword>
    <KeyStoreType>JKS</KeyStoreType>
    <DomainToKeyStoreMapPath>${com.wowza.wms.context.VHostConfigHome}/conf/jksmap.txt</DomainToKeyStoreMapPath>
    <SSLProtocol>TLS</SSLProtocol>
    <Algorithm>SunX509</Algorithm>
    <CipherSuites></CipherSuites>
    <Protocols></Protocols>
</SSLConfig>

我读过这个https://www.wowza.com/docs/how-to-improve-ssl-configuration,但帮不上什么忙。

问题:我可以向“密码套件”和“协议”项目添加什么来获得最新的 SSL 配置?或者我可以在哪里阅读相关信息?

答案1

您提供的文档链接未提及所使用的服务器软件。但从记录的消息中我得出结论,它理解常见的 OpenSSL 术语。

我在 nginx 中使用以下设置获得 A 到 A+ 评级:

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH !DHE !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_protocols "TLSv1 TLSv1.1 TLSv1.2";

(也许您必须提供以逗号分隔的列表。取决于服务器软件。)

这足以获得 B 级评级。

我也使用以下语句:

ssl_prefer_server_ciphers on;

这可以防止客户端降低安全性。希望您的提供商默认这样做,因为我没有在您发布的配置中看到您可以设置的选项。

如果你还可以实现高速传输系统您可以将评级提高到 A+。实施 HSTS 意味着传递如下 HTTP 标头:

Strict-Transport-Security: max-age=31536000; includeSubDomains

这使得现代浏览器拒绝在过去 31,536,000 秒内与发出此标头的服务器建立不安全的连接。

相关内容