如何**保持**我的 LAMP 堆栈的 SSLCipherSuite 列表为最新?

如何**保持**我的 LAMP 堆栈的 SSLCipherSuite 列表为最新?

我已经使用 Let's Encrypt 证书运行了多个 LAMP 服务器 5 年多了。今天,我进行了 Qualys 的 SSL 测试https://www.ssllabs.com/ssltest/index.html得知我失去了我梦寐以求的A+因为不断发展的密码套件列表已经发生了变化,现在我使用的是弱密码套件。在互联网上搜索会带你到无数个网站,每个网站都有不同的答案,具体取决于年龄。我喜欢 的简单性SSLCipherSuite HIGH:!aNULL:!MD5,此设置会导致更多弱密码,而不是更少。在我进行逐个测试每个密码的反复试验之前,有没有更好的方法?

问题:

  • 有没有这样的关键词HIGH:!aNULL:!MD5可以代替最好、最强的密码?而且可以长期使用?
  • 或者是否有一个网站目前提供最新和最好的 SSLCipherSuite 推荐?

PS 这是几个月前发布的清单A+

SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

以下是截至 2022 年 11 月的测试结果 在此处输入图片描述

答案1

我建议Mozilla 服务器端 TLS建议以及相关配置生成器作为大多数目的的基准。

我特别喜欢的是他们提出的三种配置,它们针对旧版兼容性(以安全意识的方式)与最新版(充分利用较新的标准)之间的不同权衡,并介绍了各种决策的理由。
特别是“中间”选项往往是一个很好的折衷方案。

相关内容