更进一步的提高 SSL 的安全性,支持 Forward Secrecy

之前一篇对于 SSL 优化的部分,谈到了去掉 RC4 算法的支持,把总评分提高到了 A-。但是还是有一项警告内容让我注意到了。

The server does not support Forward Secrecy with the reference browsers.

这里的 Forward Secrecy 是什麽呢?

维基百科上有该条目,可以去看看,下面是我的理解。

forward secrecy 也称之为 perfect forward secrecy,或者 PFS。称之为完美远期加密。是在HTTPS基础上进一步保护用户电脑同服务器之间的加密通讯。

其解决的一个安全场景就是,如果服务器同用户间的加密通讯内容被窃听,也被储存下来,这些被加密的内容虽然当时无法被解密,被破解,但是当日后,服务器的SSL密钥被取得后(不管是何种原因被取得密钥),这些过往的内容是可以用这个密钥来解密的。这样虽然时效性可能差些,但是仍然是会有被破解的危险存在。


而采用 完美远期加密 的 SSL 或者 HTTPS 通讯,加密钥匙只是短暂性的,而且不能从服务器的 SSL 密钥中推算出来,这样即使日后 SSL 密钥被第三方取得,过去和未来的 HTTPS 通讯仍然安全,窃听者始终无法破解所窃听的内容(以目前的技术而言)。


目前只有用 ephemeral Diffie-Hellman 的算法才算是 完美远期加密

比如 Google 搜索网站的加密就是。查看的方法是,点击网址栏中在网址前的那个绿色锁,在 connection tab 中可以看到使用的加密算法,这里看到的是 ECDHE_ECDSA ,这里的ECDHE就代表的是这个。

google-ecdhe-ssl.jpg

Whovpn在修改了相关的设置后,再用 SSL Labs 的测试工具来测试加密强度,现在已经达到了A+,算是最高的评分了。

whovpn-ssl-a+.jpg在报告中看到的唯一的缺点,在浏览器的支持部分,IE6/XP 是不被支持的。另外 Java 6 也是不支持的。这两个都是早已退休的技术,不支持就不支持吧。

接下来说说我的具体设置:

首先我的 Apache 服务器是 2.4.7, 满足了最低要求 Apache v 2.4。如果你的 Apache 版本低于这个,就不要弄了。

在SSL.conf文件中,我的最重要的几项内容是:

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
SSLHonorCipherOrder on
SSLProtocol all -SSLv3

其实就是这么简单,做好安全措施,保护好用户数据。


作者: David Yin
原载: SEO 网站优化推广
版权所有。转载时必须以链接形式注明作者和及本声明。