自从MySSL推出以后,不少网站HTTPS检测评分都达到了A或者A+,但在看检测结果的时候,发现相似于百度和淘宝这类大用户群的网站竟然没有评级到A或者在使用的加密套件上有橙色的加密套件,这就让咱们很是诧异,难道是这些个网站不注重安全么?html
若是说百度评级不高,那还能说得过去,毕竟在搜索的时候没啥重要信息,牺牲一点安全性获取极致的兼容性。可是淘宝这种电商不该该不会不重视网站的安全性。那又是什么缘由让这些网站形成了这种状况呢?经过仔细的观察报告结果和查询资料发现,这些网站这样作的缘由是为了更好的兼容性,但各家也有不一样的作法:nginx
百度浏览器
先来看一下的百度的评分:安全
从图中能够看出www.baidu.com这个网站的评分是C,形成这个评分的主要缘由是使用RC4加密套件,文章一开始就说了,评不到A或者更高的缘由是为了兼容性,那么再看一下客户端模拟的结果:服务器
从这里发现哪怕用户使用的是IE6这款老古董级别的浏览器也能访问百度。这样的兼容性能够说是异常良好了。可是安全性就有点欠缺,若是要适配IE6这款浏览器,那么SSL协议就必须得支持SSL2和SSL3,由于IE6支持也仅支持这两个协议,SSL2是明确说明不安全的了,SSL3上又有著名的POODLE漏洞问题,SSL3上的全部CBC加密套件都会受该漏洞影响,除去CBC加密套件,那么就只剩下RC4系列的加密套件了,这个没得选择。工具
淘宝网站
相对于百度,面对兼容性问题,淘宝又是另外一种作法了。加密
淘宝虽然评分到了A,可是在支持的加密套件中存在橙色的选项:htm
从图中能够看出淘宝舍弃了SSL3协议,换句话说就是放弃了对IE6的支持,这个从客户端模拟结果上也能够体现出来:blog
可是那个黄色的TLS_RSA_WITH_3DES_EDE_CBC_SHA又是什么缘由呢?这是为了兼容XP上的IE8这类浏览器,这些浏览器器支持加密套件基本都是不安全的,惟一比较安全的就是3DES系列的了。为了兼容这些浏览器这应该算是一种比较好的方式了。
如何达到A+
最近发现有不少blog主在他们的blog中推荐咱们MySSL,这让咱们很是惊喜,在这里首先感谢一下这些blog主对咱们MySSL的推广。
可是在看到 给启用 SSL 的站点推荐个 HTTPS 专用工具网站 的评论中,有一些blog主对如何评到A以及A+不是很理解,这里简单的说明一下。
首先要是,这个评分,并不单单是针对于证书的部署状况而言的,这是一个多方面综合的评级。其中包括了证书、SSL协议、加密套件、漏洞、不安全的外链等等。若是您的网站的评分已经达到A,那么没有被评到A+的最大的可能性就是没有使用HSTS,使用HSTS的方法很简单,只要在添加Strict-Transport-Security这个HTTP头部信息便可。
用nginx服务器作说明:
add_header Strict-Transport-Security "max-age=31536000";
但有一点须要注意,Strict-Transport-Security中的max-age的时间不能小于15552000。
总结
若是您的服务器须要支持IE6这种古董级别的浏览器,那么就按照百度的作法,若是说对兼容性没有太大的需求,只要主流的浏览器可以访问那么就不要支持3DES系列的加密套件,若是说想要在保证安全性的同时,也要有最好的兼容性,那么就请按照淘宝的配置方式进行配置。
下面给出这三种配置状况:
相似百度
Nginx
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
相似淘宝
Nginx
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
最好的安全性
Nginx
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
但也有可能由于openssl版本的不一样会致使相同的配置获得不一样的检测结果。若是您的openssl处于较新的版本那么按照最好的安全性进行配置,获得一个A,应该是没有问题的。