更进一步的提高 SSL 的安全性,支持 Forward Secrecy
之前一篇对于 SSL 优化的部分,谈到了去掉 RC4 算法的支持,把总评分提高到了 A-。但是还是有一项警告内容让我注意到了。
The server does not support Forward Secrecy with the reference browsers.
这里的 Forward Secrecy 是什麽呢?
维基百科上有该条目,可以去看看,下面是我的理解。
forward secrecy 也称之为 perfect forward secrecy,或者 PFS。称之为完美远期加密。是在HTTPS基础上进一步保护用户电脑同服务器之间的加密通讯。
其解决的一个安全场景就是,如果服务器同用户间的加密通讯内容被窃听,也被储存下来,这些被加密的内容虽然当时无法被解密,被破解,但是当日后,服务器的SSL密钥被取得后(不管是何种原因被取得密钥),这些过往的内容是可以用这个密钥来解密的。这样虽然时效性可能差些,但是仍然是会有被破解的危险存在。
而采用 完美远期加密 的 SSL 或者 HTTPS 通讯,加密钥匙只是短暂性的,而且不能从服务器的 SSL 密钥中推算出来,这样即使日后 SSL 密钥被第三方取得,过去和未来的 HTTPS 通讯仍然安全,窃听者始终无法破解所窃听的内容(以目前的技术而言)。
目前只有用 ephemeral Diffie-Hellman 的算法才算是 完美远期加密,
比如 Google 搜索网站的加密就是。查看的方法是,点击网址栏中在网址前的那个绿色锁,在 connection tab 中可以看到使用的加密算法,这里看到的是 ECDHE_ECDSA ,这里的ECDHE就代表的是这个。
Who***在修改了相关的设置后,再用 SSL Labs 的测试工具来测试加密强度,现在已经达到了A+,算是最高的评分了。
在报告中看到的唯一的缺点,在浏览器的支持部分,IE6/XP 是不被支持的。另外 Java 6 也是不支持的。这两个都是早已退休的技术,不支持就不支持吧。
接下来说说我的具体设置:
首先我的 Apache 服务器是 2.4.7, 满足了最低要求 Apache v 2.4。如果你的 Apache 版本低于这个,就不要弄了。
在SSL.conf文件中,我的最重要的几项内容是:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
SSLHonorCipherOrder on
SSLProtocol all -SSLv3
其实就是这么简单,做好安全措施,保护好用户数据。
本文出自https://seo.g2soft.net/2015/02/27/enable-forward-secrecy.html
转载于:https://blog.51cto.com/lookingdream/1923127
更进一步的提高 SSL 的安全性,支持 Forward Secrecy相关推荐
- 如何使用ATS提高应用的安全性
App Transport Security,简短的说就是ATS,是iOS9和OS X El Capitan的一个新特性.App Transport Security 的目标是提高Apple 操作系统 ...
- [翻译]一步步教你配置SQL SERVER合并复制(四)提高Distributor的安全性
上一篇:一步步教你配置SQL SERVER合并复制(三)配置Distributor 为了让已订阅数据库的设备能够更好地去联系Distributor,你必须在数据库中添加一个域用户,让设备能够通过这个用 ...
- Nginx系列之使用ssl模块配置支持代理HTTPS链接
Nginx系列之使用ssl模块配置支持HTTPS访问 1.博客前言介绍 最近在用nginx代理https的第三方链接,因为不是做运维,所以对nginx并不是特殊熟悉,所以到处询问摸索了挺久 2.查看s ...
- 兼容性测试如何提高网站的安全性?
兼容性测试如何提高网站的安全性? 在今天的互联网时代,随着各种网络攻击和黑客活动的频繁发生,网站的安全性问题越来越引起人们的关注.而在提高网站安全性方面,兼容性测试是一个非常重要的环节.本文将从什么是 ...
- 亚马逊、temu、速卖通自养买家号如何提高测评的安全性?
卖家之家每天都披露着卖家们做测评被中介服务商牵着鼻子走,被坑,被忽悠.店铺的安全性没法保证,甚至还有威逼敲诈的.站在卖家的角度,测评的资源真的很难,而且大量的运营资金被测评这一件事拿走,利润被摊薄.市 ...
- nginx使用ssl模块配置支持HTTPS访问
背景: 项目开发中用到了微信小程序,但是服务器配置URL必须是HTTPS,所以需要通过配置nginx的SSL模块来支持HTTPS访问,也就是说,要做一个网站域名为 XXX.com 要求通过HTTPS: ...
- 如何提高Web服务器安全性,如下几点建议。
Web服务器安全问题仍然是IT部门最关心的问题之一,因为最近频发的网络攻击已被证明.由于存在托管敏感数据,Web服务器是一个组织中最容易被黑客针对攻击的地方.运维工程师针对如何提高Web服务器安全性给 ...
- 绿色地址栏扩展验证(EV)SSL证书、支持SGC 强制最低128位以上
Pro With EV SSL证书,最严格的域名所有权和企业身份信息验证,属于最高信任级别.最高安全级别的 EV SSL证书,该证书可以使地址栏变成高安全绿色,并且在地址栏内显示您公司的名称,提高 ...
- Next.js 7.0正式发布:重新编译速度提高42%,支持WebAssembly
在经过26次金丝雀发布和340万次下载之后,现在,我们正式推出生产就绪的Next.js 7. \\ DX改进:启动速度提高57%,重新编译速度提高42%:\\t 使用react-error-overl ...
- 微服务微应用的安全测试_提高微服务安全性的11个方法
1.通过设计确保安全 设计安全,意味着从一开始就应该将安全性纳入软件设计中.关于安全,其中最常见的一个威胁就是恶意字符. 我问我的朋友罗伯·温奇(Rob Winch)他对删除恶意字符的想法.Rob是S ...
最新文章
- Windows - Windows批处理
- 搜索引擎是网站还是服务器,搜索引擎其实也是一个______。A.网站B.磁盘C.服务器D.硬件设备...
- 【EventBus】事件通信框架 ( 订阅方法注册 | 检查订阅方法缓存 | 反射获取订阅类中的订阅方法 )
- calibre中的hcell_关于calibre的Hcell你知道多少?
- 高性能负载均衡设计入门篇
- 213. House Robber II 首尾相同的偷窃问题
- Feign的构建过程及自定义扩展功能
- MFC读取配置文件GetPrivateProfileString
- 【Elasticsearch】Elasticsearch 理解mapping中的store属性
- Docker : Docker 安装ES
- mysql 中文排序_mysql如何按照中文排序解决方案
- 注册表修改大全(浏览文章时可以使用CTRL+F查找)
- 航空——模拟飞行之飞行术语
- 2021美亚团队赛复盘
- 获取海康摄像机的rtsp流,并用VLC测试
- 3月4日 与柳传志面对面(谁是这个时代的思想家)
- 解决springboot项目部署时视上传视频太大导致的内存溢出问题
- 这篇文章帮你避坑,教会你选购内存卡
- 服务器搭建hue_Hue安装配置实践
- A Game of Thrones(103)
热门文章
- 'E:\AndroidSDK\platform-tools\adb.exe start-server' failed -- run manually if necessary
- 太阳光轨迹软件_教你记录太阳的轨迹
- oracle执行cmd的实现方法
- WireShark抓Intel网卡的802.1q包
- 算法工程师(机器学习)部分面试题(转载参考)
- airdrop搜不到对方_如何在Mac的Finder中将AirDrop添加到收藏夹侧边栏
- 页面获取服务器图片路径问题
- 线性表--顺序表--单向链表(四)
- Halcon深度学习目标检测例程学习经验(1)
- [译]R语言——Shiny框架之入门(一):Shiny应用的基本构成