Bra*_*ley 5 ssl encryption httpd mod-ssl
不确定这是否是将其发布到的合适 SE,但这里是:是否有一些有关各种浏览器支持哪些 SSL 密码的在线参考?基本上,我对通过确保较低的密钥长度和旧算法(DES 和 3DES)不用于与客户端的通信来强化系统感兴趣。
这样做的方法(至少使用 Apache mod_ssl)似乎是控制服务器在握手期间提供的支持的密码。
我希望能够回答诸如“如果我强制使用 AES256,哪些浏览器会损坏?”之类的问题。
对于某些站点,这是可取的,因为它为我们提供了有关对话机密性的一些保证。如果他们的浏览器只支持被认为是不安全的连接,我们希望会话中断,以便他们被迫使用更现代/更强大的客户端。
这是解决问题的正确方法吗?
所有 SSL/TLS 服务器应该(必须?)提供一种机制来指定密码套件首选项和可用密码:如果您不想使用不安全的算法,则不要配置它们。请优先考虑更强的密码(如果安全性是您的首要任务)。
显然我们无法告诉您哪组密码可以满足您的安全要求。然而,维护客户端浏览器支持的密码列表是一项艰巨的任务。这是 Google、Paypal、eBay 等大公司积极开展的一项工作 - 为什么不直接测试他们目前提供的产品呢?
(请记住,某些网站将纯粹使用 HTTPS 作为协商 SPDY 的跳板)。
| 归档时间: |
|
| 查看次数: |
4296 次 |
| 最近记录: |