Que*_*low 1 ssl logging apache-2.2
我正在托管一个允许用户使用 HTTP 或 HTTPS 连接的站点。默认的 apache 配置为通过 HTTPS 发出的请求生成一个单独的日志文件,其中包含两个附加信息,即协议(例如 TLSv1)和密码(例如 DHE-RSA-CAMELLIA256-SHA)。我想知道记录这两个额外信息的好处,或者我是否应该将它与没有这两列的访问日志合并以便于故障排除。
小智 5
为了最大程度地与浏览器兼容,Apache 将允许使用各种 HTTPS 协议和密码。
但是,如果您想确保 HTTPS 流量的良好安全性,您将需要禁用其中一些协议(例如 SSLv2)和密码(例如 RC2-CBC-MD5)。特别是随着时间的推移,一些协议/密码对它们进行了越来越多的可行攻击。如果可以,浏览器通常会使用更强的协议/密码进行连接,并且该协议/密码将显示在您的日志中。
潜在的问题是,如果您禁用那些安全性较低的协议/密码,并且您的用户群的浏览器不支持您允许的协议/密码,那么某些浏览您网站的人(使用旧 PC 或手机) ) 可能根本无法再获得 HTTPS 连接!特别是,如果像 Google 或其他网站一样,出于安全原因(例如保护会话 cookie 免受无线嗅探),您强制人们仅使用 HTTPS,这可能是一个问题。
你怎么知道禁用它们是安全的还是最安全的?您如何衡量该业务风险?好吧,如果您记录了用户群使用的实际密码,您就可以轻松查看您的客户是否受到影响,或者删除对这些协议/密码的访问会影响多大比例的流量。或者至少对这种影响有一个很好的近似。如果可以,浏览器通常会使用更强的协议/密码进行连接,并且该协议/密码将显示在您的日志中。
(还有一些更微妙的原因,例如确保您的服务器使用您认为的协议/密码,以及出于取证原因,如果存在某些 MITM SSL 降级攻击。)
我对保持日志合并或分离没有强烈的意见,但是通过单独记录事情,您可以拥有一个小日志,它完全专注于允许分析,而不是用它来拖延您的主要大日志。它可能以不同的频率旋转,等等。
| 归档时间: |
|
| 查看次数: |
1214 次 |
| 最近记录: |