SSL暗号としてRC4-MD5 / RC4-SHAをほとんどの目的に十分に使用していますか?
AWS ELBで証明書をアップロードし、「RC4-MD5」+「RC4-SHAのみを選択しました "を暗号として使用し、ssltestでスコアA [1]
デフォルトのELB設定を使用している場合、得点は[〜#〜] c [〜#〜]のみです。
私はPCI準拠のサイトをやっていないので、上記の2つの暗号のみを使用することで、ほとんどの目的で十分ですか? (十分に私は幅広いブラウザサポートを意味します)
短い答え:はい、問題はありません。
RC4、MD5、およびいくつかのマイナーな測定では、SHA-1にはすべて既知の欠点がありますが、それらのどれもがWebサイトを脆弱にすることはありません。正確に言うと:ifRC4-MD5暗号スイートを使用すると、Webサイトが著しく弱くなり、その後それ以外の場合は非常に強固になります- -実際に到達可能であると思われるよりもしっかりしています。
ただし、さらにいくつかの暗号スイートを投入することもできます。制限付きクライアントに対応するために、3DESまたはAES、あるいはその両方をサポートします。一部の人々は、ブラウザからメッセージを誤って取得し、パニックになり、RC4を完全に無効にしました。
Ssltestの「スコア」はほとんど意味がありません。読みすぎないでください。これはsecurity.SEの評判のようなものです。それは、実際のセキュリティよりも、高得点を獲得するために投資された努力に関連しています。