用 sslscan 檢測你的 HTTPS 連線協定安全性


承認吧,你的 HTTPS 其實不太安全

網站並不是用了 HTTPS 就一定安全,隨著電腦運算速度與 Hack 技術的進步,很多早期的 SSL 加密模式已經開始浮現漏洞,讓 Hacker 可以在比較合理的時間解密 HTTPS 封包,像是 SSL v2/v3 等等比較老舊的加密模式,因此建議直接由 Web Server 關閉禁止使用這些脆弱的加密方式。至少要使用 TLS 1.0 以上的加密協定,TLS 1.2 更好但是會犧牲 IE 6 這個老舊瀏覽器的支援性。

透過 sslscan 掃描 SSL 加密方式

想要測試某個網站啟用哪些 SSL 協定,可以透過 sslscan 這個工具 (GitHub) 達成,編譯與操作如下:

先安裝編譯環境需要的套件

sudo apt-get install build-essential git zlib1g-dev

sudo apt-get build-dep openssl

從 GitHub 下載 Source Cose 編譯安裝

git clone https://github.com/rbsec/sslscan

cd sslscan

make static

執行 sslscan 測試網站

./sslscan blog.toright.com:443

執行後會回應以下報告,可以看出這個網站的 HTTPS 提供了哪些加密協定?

sslscan

網路上還有一個線上檢測的服務 Qualys SSL Labs 可以直接告訴你哪些協定是不安全的,而且更新速度很快,有興趣的可以連進去線上測試看看,能拿到 Grade A 算是當下很安全了。

筆記:HAProxy SSL 安全協定建議設定 (2017/07/15 Qualys SSL Labs Grade A)

HAProxy 設定方法如上,需要的人可以參考看看,可以拿到 Grade A。

筆記:Apache SSL 安全協定建議設定 (2017/07/26 Qualys SSL Labs Grade A)

被電爆後補上這個 Blog 的 Apache SSL 設定,Qualys SSL Labs 拿到 Grade A,最高只能 87 分不能再高了.......

Facebook 留言

廣告

樂樂童鞋