之前一篇对于 SSL 优化的部分,谈到了去掉 RC4 算法的支持,把总评分提高到了 A-。但是还是有一项警告内容让我注意到了。

The server does not support Forward Secrecy with the reference browsers.

这里的 Forward Secrecy 是什麽呢?

维基百科上有该条目,可以去看看,下面是我的理解。

forward secrecy 也称之为 perfect forward secrecy,或者 PFS。称之为完美远期加密。是在HTTPS基础上进一步保护用户电脑同服务器之间的加密通讯。

其解决的一个安全场景就是,如果服务器同用户间的加密通讯内容被窃听,也被储存下来,这些被加密的内容虽然当时无法被解密,被破解,但是当日后,服务器的SSL密钥被取得后(不管是何种原因被取得密钥),这些过往的内容是可以用这个密钥来解密的。这样虽然时效性可能差些,但是仍然是会有被破解的危险存在。

而采用 完美远期加密 的 SSL 或者 HTTPS 通讯,加密钥匙只是短暂性的,而且不能从服务器的 SSL 密钥中推算出来,这样即使日后 SSL 密钥被第三方取得,过去和未来的 HTTPS 通讯仍然安全,窃听者始终无法破解所窃听的内容(以目前的技术而言)。

目前只有用 ephemeral Diffie-Hellman 的算法才算是 完美远期加密

比如 Google 搜索网站的加密就是。查看的方法是,点击网址栏中在网址前的那个绿色锁,在 connection tab 中可以看到使用的加密算法,这里看到的是 ECDHE_ECDSA ,这里的ECDHE就代表的是这个。

Who***在修改了相关的设置后,再用 SSL Labs 的测试工具来测试加密强度,现在已经达到了A+,算是最高的评分了。

在报告中看到的唯一的缺点,在浏览器的支持部分,IE6/XP 是不被支持的。另外 Java 6 也是不支持的。这两个都是早已退休的技术,不支持就不支持吧。

接下来说说我的具体设置:

首先我的 Apache 服务器是 2.4.7, 满足了最低要求 Apache v 2.4。如果你的 Apache 版本低于这个,就不要弄了。

在SSL.conf文件中,我的最重要的几项内容是:

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
SSLHonorCipherOrder on
SSLProtocol all -SSLv3

其实就是这么简单,做好安全措施,保护好用户数据。

本文出自https://seo.g2soft.net/2015/02/27/enable-forward-secrecy.html

转载于:https://blog.51cto.com/lookingdream/1923127

更进一步的提高 SSL 的安全性,支持 Forward Secrecy相关推荐

  1. 如何使用ATS提高应用的安全性

    App Transport Security,简短的说就是ATS,是iOS9和OS X El Capitan的一个新特性.App Transport Security 的目标是提高Apple 操作系统 ...

  2. [翻译]一步步教你配置SQL SERVER合并复制(四)提高Distributor的安全性

    上一篇:一步步教你配置SQL SERVER合并复制(三)配置Distributor 为了让已订阅数据库的设备能够更好地去联系Distributor,你必须在数据库中添加一个域用户,让设备能够通过这个用 ...

  3. Nginx系列之使用ssl模块配置支持代理HTTPS链接

    Nginx系列之使用ssl模块配置支持HTTPS访问 1.博客前言介绍 最近在用nginx代理https的第三方链接,因为不是做运维,所以对nginx并不是特殊熟悉,所以到处询问摸索了挺久 2.查看s ...

  4. 兼容性测试如何提高网站的安全性?

    兼容性测试如何提高网站的安全性? 在今天的互联网时代,随着各种网络攻击和黑客活动的频繁发生,网站的安全性问题越来越引起人们的关注.而在提高网站安全性方面,兼容性测试是一个非常重要的环节.本文将从什么是 ...

  5. 亚马逊、temu、速卖通自养买家号如何提高测评的安全性?

    卖家之家每天都披露着卖家们做测评被中介服务商牵着鼻子走,被坑,被忽悠.店铺的安全性没法保证,甚至还有威逼敲诈的.站在卖家的角度,测评的资源真的很难,而且大量的运营资金被测评这一件事拿走,利润被摊薄.市 ...

  6. nginx使用ssl模块配置支持HTTPS访问

    背景: 项目开发中用到了微信小程序,但是服务器配置URL必须是HTTPS,所以需要通过配置nginx的SSL模块来支持HTTPS访问,也就是说,要做一个网站域名为 XXX.com 要求通过HTTPS: ...

  7. 如何提高Web服务器安全性,如下几点建议。

    Web服务器安全问题仍然是IT部门最关心的问题之一,因为最近频发的网络攻击已被证明.由于存在托管敏感数据,Web服务器是一个组织中最容易被黑客针对攻击的地方.运维工程师针对如何提高Web服务器安全性给 ...

  8. 绿色地址栏扩展验证(EV)SSL证书、支持SGC 强制最低128位以上

      Pro With EV SSL证书,最严格的域名所有权和企业身份信息验证,属于最高信任级别.最高安全级别的 EV SSL证书,该证书可以使地址栏变成高安全绿色,并且在地址栏内显示您公司的名称,提高 ...

  9. Next.js 7.0正式发布:重新编译速度提高42%,支持WebAssembly

    在经过26次金丝雀发布和340万次下载之后,现在,我们正式推出生产就绪的Next.js 7. \\ DX改进:启动速度提高57%,重新编译速度提高42%:\\t 使用react-error-overl ...

  10. 微服务微应用的安全测试_提高微服务安全性的11个方法

    1.通过设计确保安全 设计安全,意味着从一开始就应该将安全性纳入软件设计中.关于安全,其中最常见的一个威胁就是恶意字符. 我问我的朋友罗伯·温奇(Rob Winch)他对删除恶意字符的想法.Rob是S ...

最新文章

  1. Windows - Windows批处理
  2. 搜索引擎是网站还是服务器,搜索引擎其实也是一个______。A.网站B.磁盘C.服务器D.硬件设备...
  3. 【EventBus】事件通信框架 ( 订阅方法注册 | 检查订阅方法缓存 | 反射获取订阅类中的订阅方法 )
  4. calibre中的hcell_关于calibre的Hcell你知道多少?
  5. 高性能负载均衡设计入门篇
  6. 213. House Robber II 首尾相同的偷窃问题
  7. Feign的构建过程及自定义扩展功能
  8. MFC读取配置文件GetPrivateProfileString
  9. 【Elasticsearch】Elasticsearch 理解mapping中的store属性
  10. Docker : Docker 安装ES
  11. mysql 中文排序_mysql如何按照中文排序解决方案
  12. 注册表修改大全(浏览文章时可以使用CTRL+F查找)
  13. 航空——模拟飞行之飞行术语
  14. 2021美亚团队赛复盘
  15. 获取海康摄像机的rtsp流,并用VLC测试
  16. 3月4日 与柳传志面对面(谁是这个时代的思想家)
  17. 解决springboot项目部署时视上传视频太大导致的内存溢出问题
  18. 这篇文章帮你避坑,教会你选购内存卡
  19. 服务器搭建hue_Hue安装配置实践
  20. A Game of Thrones(103)

热门文章

  1. 'E:\AndroidSDK\platform-tools\adb.exe start-server' failed -- run manually if necessary
  2. 太阳光轨迹软件_教你记录太阳的轨迹
  3. oracle执行cmd的实现方法
  4. WireShark抓Intel网卡的802.1q包
  5. 算法工程师(机器学习)部分面试题(转载参考)
  6. airdrop搜不到对方_如何在Mac的Finder中将AirDrop添加到收藏夹侧边栏
  7. 页面获取服务器图片路径问题
  8. 线性表--顺序表--单向链表(四)
  9. Halcon深度学习目标检测例程学习经验(1)
  10. [译]R语言——Shiny框架之入门(一):Shiny应用的基本构成