Qualys SSL LabsのA +向けAzure Cloud ServiceでSSL / TLSを強化していますか?
このPowerShellスクリプト をAzure Cloud Service(PaaS)起動スクリプトとして使用しており、 Qualys SSL Labsテスト
具体的には、次の理由でポイントを失っています。
Forward Secrecy : With some browsers (more info)
Downgrade attack prevention : No, TLS_FALLBACK_SCSV not supported (more info)
その1つにA +を設定したいと思います(そのテストでカバーされていない他の側面を改善します)。どうすればできますか?
まず、TLSバージョンと暗号スイートの選択の分析については、 への私の回答を参照してください。今が2015年なので、高セキュリティHTTPS環境でどのSSL/TLS暗号スイートを使用する必要がありますか?
- 要約は次のとおりです。TLS_DHE_*およびTLS_ECDHE_ *はPFSをサポートしますが、AVOID[〜#〜] dss [〜#〜]、RC4など。
- FSがないためにポイントが得られない理由は、TLS_RSA_ *暗号スイートであるため、スタートアップスクリプトから除外してください。
次に、追加の技術的な「Azureでこれを行う方法」については、 Windows Azure(OS、またはWebサイト)でPerfect Forward Secrecyを構成する方法 を参照してください。
- 概要は次のとおりです:この NuGetパッケージ のような Azureスタートアップタスク を実行 Codeplex project 、SSLv3を完全に無効にするようにしてください。
- 起動スクリプトは既にこれをたくさん行っているようです。これは素晴らしいことです!
TLS_FALLBACK_SCSVに関する限り、TLS_FALLBACK_SCSV Connectエントリ に関するフィードバックをすべての友達にMicrosoftに提供してもらうことが最善の策です