我已经使用 Let's Encrypt 证书运行了多个 LAMP 服务器 5 年多了。今天,我进行了 Qualys 的 SSL 测试https://www.ssllabs.com/ssltest/index.html得知我失去了我梦寐以求的A+因为不断发展的密码套件列表已经发生了变化,现在我使用的是弱密码套件。在互联网上搜索会带你到无数个网站,每个网站都有不同的答案,具体取决于年龄。我喜欢 的简单性SSLCipherSuite HIGH:!aNULL:!MD5
,此设置会导致更多弱密码,而不是更少。在我进行逐个测试每个密码的反复试验之前,有没有更好的方法?
问题:
- 有没有这样的关键词
HIGH:!aNULL:!MD5
可以代替最好、最强的密码?而且可以长期使用? - 或者是否有一个网站
目前提供最新和最好的 SSLCipherSuite 推荐?
PS 这是几个月前发布的清单A+
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
答案1
我建议Mozilla 服务器端 TLS建议以及相关配置生成器作为大多数目的的基准。
我特别喜欢的是他们提出的三种配置,它们针对旧版兼容性(以安全意识的方式)与最新版(充分利用较新的标准)之间的不同权衡,并介绍了各种决策的理由。
特别是“中间”选项往往是一个很好的折衷方案。