我正在使用这个 SSL Conf:
SSLCipherSuite ALL:!RSA:!CAMELLIA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SHA1:!SHA256:!SHA384
请帮忙!我找不到任何解决方案。
当我使用 ssllabs.com 检查我的网站时,我的密码总是 <100%。因此,我听说禁用 128 位密码将使我达到完整的 %。我希望尽可能安全。
答案1
您可以只列出已接受的密码套件,而不必列出ALL然后删除不想要的密码套件,例如
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
此外,你不应该专注于在 SSL Labs 测试中获得 100% 的 A+ 分数。没有 100% 的安全性,只有针对风险的安全性。你的风险模型是什么?专注于测试甚至可能会给你虚假的安全感。测试最有用的部分是在评分之后开始的。在那里,你可以做出一个适当的妥协安全性和兼容性之间。您是否愿意失去使用不支持任何密码套件的旧浏览器的访问者?