“最佳” Web服务器SSL密码套件配置

#1 楼

最安全的设置不仅取决于密码，还取决于所使用的tls版本。对于openssl，首选tls 1.1 / 1.2。 BEAST和CRIME是对客户端的攻击，通常可以缓解客户端的攻击，但是也可以缓解服务器端的攻击：


CRIME：只需禁用ssl-compression；就是
BEAST / Lucky13：仅使用TLS 1.1，不使用SSLv3和不使用RC4，请参阅BEAST仍然是威胁吗？ （Ivan Ristic）

突破：仅在满足某些条件的情况下有效，请访问Breakattackack.com；轻松且始终有效的缓解措施是取消http-compression（gzip）

的完美设置：SSL总是会在较高级别上影响性能，RC4和其他快速密码套件可能仍然适合静态内容，尤其是从您自己的CDN投放时。

了解OpenSSL的一个很好的指南是《 OpenSSL Cookbook》，其中还详细介绍了PFS，密码套件，tls版本等。pp。有2个博客文章介绍了PFS和实际设置：


SSL实验室：部署向前保密
配置Apache，Nginx和OpenSSL以实现向前保密

密码套件建议也可以在较旧的客户端上启用PFS：

# apache
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

# nginx

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

有关nginx / ssl手册的详细信息，我想带您转到Nginx + SSL + SPDY指南。

#2 楼

自撰写此答案的一年以来，Mozilla的指南已定期更新。我下面的所有保留均已考虑在内，因此我会全力推荐该指南。


我建议您阅读Mozilla的服务器端TLS指南。它是全面的，并且他们特别注意与旧客户端的兼容性，有时会损害安全性。 （毕竟，IE 6用户应该能够下载Firefox。）我想强调几件事：支持Windows XP / IE 6并不是最佳选择。我建议您尽可能删除它。它需要SSL 3.0，这使体面的客户端容易遭受降级攻击。编辑：IE 6可以支持TLS 1.0的注释中的反弱密码报告。我不知道有多少百分比的IE 6客户端支持它或启用了它。
支持XP / IE 8不错。它支持TLS 1.0，尽管其最佳密码套件为DES-CBC3-SHA，并且不支持完美的前向保密性或SNI。 （其第二好的密码套件是RC4-SHA和RC4-MD5。3DES速度很慢，但是RC4存在安全问题。请尽可能避免。）
从安全角度来看，2048位Diffie-Hellman参数是最好的，但是Java 6仅支持1024位参数。 NSA超级计算机可能会或可能不会破坏常见的1024位参数，但是就目前而言，1024位DH或多或少是安全的。您可能需要使用它。 （Java 7支持ECDHE，绕过了DHE参数大小的整个问题。）

Mozilla的主要密码套件列表包括RC4。如上所述，我建议从RC4弱点部分使用3DES代替。

Mozilla的配置示例启用SSL 3.0。正如我所说，我不希望这样做。

Mozilla的配置示例主要推荐2048位DH参数，但它们也提供了1024个选项。

#3 楼

当然，第一步是使OpenSSL（或您使用的库）保持最新。

但是随着新漏洞的发现和浏览器的升级，此处的答案可能（将）过时。我建议您依靠Mozilla SSL配置生成器来检查应使用的配置。

#4 楼

您在网络服务器上配置的“最佳” SSL密码取决于客户需求。在许多情况下，这将是协议和密码套件选择的一个因素。不确定是否适合您。

您可以配置最佳安全性-仅支持TLS 1.2协议，仅具有完全转发安全性（PFS）的密码和仅AES 256。您可能仅支持椭圆曲线变体ECDHE。您可以选择较新的安全GCM密码，这些密码提供经过身份验证的加密并具有非常好的性能（使用AES-NI指令）。但是，如果您最重要的客户在Windows 7上使用IE8，并且您不能说服他们升级浏览器，那么他们将无法使用您的服务，您将失去客户。

ssllabs.com提供一个Web服务来扫描您的站点，并给出诸如A +，A，B等的等级。该等级基于四个参数---证书，协议支持，密钥交换和密码强度的数字得分（最高100）。如果支持完美向前保密（PFS），严格传输安全性（HSTS）等，它们将获得更高的分数。

请注意，随着浏览器和服务器的使用，分数可能会在一段时间内发生变化。会被修补，出现新的漏洞，发现新的漏洞利用等。之前，ssllabs对未实施BEAST攻击缓解服务器端缓解措施的站点给予较低的评分，但是他们停止这样做，因为他们认为这可以减轻客户端的攻击（落后的Apple除外），但更重要的是，由于缓解措施涉及强制执行RC4（对于TLS 1.0或更低版本的协议），因此RC4比以前认为的要弱得多。

您可以转到在ssl实验室网站上，输入您的网址并获得得分。

SSL实验室报告包括有关“握手模拟”的部分，其中显示了一堆客户端（浏览器，Java，openssl）以及将与您的服务器协商哪些协议，密码套件，密钥大小。如果无法进行协商，它将以红色显示“协议或密码套件不匹配”。您可以查找重要客户使用的配置的握手模拟。例如，您可能会看到条目

IE 8-10/Win7, TLS 1.0, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, FS 256

，但是如果说您将服务器的ssl配置收紧以仅支持TLS 1.2，则该行将显示为/>

IE 8-10/Win7, Protocol or cipher suite mismatch, Fail

但是，随着客户迁移/更新/升级，您可以仅使用TLS 1.2，仅PFS和仅256位的目标来加强安全性

报告提供的重要信息是密码套件是否以服务器首选的顺序。在前一种情况下，将遵循服务器配置中列出的密码顺序---因此，您将首选密码套件放在第一位。将选择服务器和客户端都可以使用的列表中的第一个密码。如果使用Apache，则可以使用指令“ SSLHonorCipherOrder on”启用它。对于nginx，伪指令为“ ssl_prefer_server_ciphers on;”