web-dev-qa-db-ja.com

SSL Labs暗号強度<100%、なぜですか?どうやって作るの?

私のサイトで SSL Labs で最大(またはほぼ最大)のスコアを取得しようとしています。

私は現在、なぜそれが私に完全に与えないのか理解していません 暗号強度スコア

これで、次のようになります。

SSL Labs Cipher Strength < 100%


SSL Labs - 暗号強度スコア は100%未満、なぜですか?そして、どうすればいっぱいにできますか?

OS:Apache 2.4.25を使用したGNU/Linux Debian 9.4。


よく見ると、次のことがわかりました。

cipher suites weak

2

写真は基本的に2つのことを示しています。

  1. Apache2構成のSSLCipherSuiteにリストされているすべての暗号は、RSA+*として定義され、私の場合はRSA+AESGCM256:RSA+AES256:RSA+AESが定義されていて、弱いと指定されています。

  2. 技術的に言えば、グレーディングの目的で、128ビットのlikeとは異なります。

そのため、たとえば、PCI DSS、NIST、およびHIPAAガイダンスに準拠している間に SSL Labs と一致するように以下を定義できます。これは High-Tech Bridge

完全に特定することも、TLSv1.2より古い暗号を無効にすることもできます。

SSLProtocol -all +TLSv1.2

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA

または非特異的であること、私はもうお勧めしません:

SSLCipherSuite ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:DH+AES256:!aNULL:!MD5:!DSS:!eNULL:!ADH:!EXP:!LOW:!PSK:!SRP:!RC4

その後、次のように結果が表示されます。

cipher suites strong

これを書いている時点では、 SSL Labs - 暗号強度スコア 100%に等しい:

ssl labs result

3