通常,我们在部署HTTPS站点后,可以通过网站上专门的测试工具来检测站点的配置是否已经最优。有如下两个站点可供使用:
1) SSLLabs
2) MySSL
以下为需要注意的几个优化点:
1) 禁用SSL 3.0
目的:防范POODLE漏洞:Padding Oracle On Downgraded Legacy Encryption
该漏洞影响曾经广为使用的SSL 3.0加密标准。攻击者可以利用该漏洞发动中间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息。
2) 禁用RC4加密算法
目的:RC4算法已经不再安全,在 TLS 和 SSL 中使用 RC4 可能允许攻击者执行中间人攻击和恢复加密会话中的纯文本。
注册表中的Ciphers下添加如下三个RC4的项,并且设置Enabled为0。
3) 升级DH密钥交换算法到2048位
目的:DH密钥交换算法默认长度为1024 位,为弱强度算法。升级至2048位以提升密钥交换的安全性。
