屏幕截图:使用具有基础配置的 SSL 证书运行 Wowza 的服务器
我从使用默认配置的 SSLLabs 获得了此结果(见屏幕截图)。我可以更改配置的唯一地方可能是 VHost.xml,我可以在其中配置以下项目:
<SSLConfig>
<KeyStorePath></KeyStorePath>
<KeyStorePassword>[REMOVED]</KeyStorePassword>
<KeyStoreType>JKS</KeyStoreType>
<DomainToKeyStoreMapPath>${com.wowza.wms.context.VHostConfigHome}/conf/jksmap.txt</DomainToKeyStoreMapPath>
<SSLProtocol>TLS</SSLProtocol>
<Algorithm>SunX509</Algorithm>
<CipherSuites></CipherSuites>
<Protocols></Protocols>
</SSLConfig>
我读过这个https://www.wowza.com/docs/how-to-improve-ssl-configuration,但帮不上什么忙。
问题:我可以向“密码套件”和“协议”项目添加什么来获得最新的 SSL 配置?或者我可以在哪里阅读相关信息?
答案1
您提供的文档链接未提及所使用的服务器软件。但从记录的消息中我得出结论,它理解常见的 OpenSSL 术语。
我在 nginx 中使用以下设置获得 A 到 A+ 评级:
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH !DHE !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_protocols "TLSv1 TLSv1.1 TLSv1.2";
(也许您必须提供以逗号分隔的列表。取决于服务器软件。)
这足以获得 B 级评级。
我也使用以下语句:
ssl_prefer_server_ciphers on;
这可以防止客户端降低安全性。希望您的提供商默认这样做,因为我没有在您发布的配置中看到您可以设置的选项。
如果你还可以实现高速传输系统您可以将评级提高到 A+。实施 HSTS 意味着传递如下 HTTP 标头:
Strict-Transport-Security: max-age=31536000; includeSubDomains
这使得现代浏览器拒绝在过去 31,536,000 秒内与发出此标头的服务器建立不安全的连接。