我试过几次运行 Qualys 的 ssltest,它一直抱怨某些浏览器不支持 PFS。
在他们的博客上,他们建议 Apache 2.4 的配置应该在他们的 ssltest 中获得“A”级,但该配置 [可以预见地] 在 Apache 2.2 中没有获得“A”级。
有人知道在这个测试中是否有可能使用 Apache 2.2 获得“A”?如果是这样,怎么做?
如何使用 Apache 2.2 在 Qualys SSL Labs 上获得“A”?
信息安全
tls
阿帕奇
2021-08-10 20:18:33
4个回答
Apache 2.2.26增加了对短暂椭圆曲线 Diffie-Hellman (ECDHE) 的支持。这可能是阻碍您在考试中获得 A 的原因。当 ECDHE 不可用时,某些 Internet Explorer 浏览器会更喜欢非前向保密密码套件。这还取决于您是否更喜欢服务器密码顺序和其他因素。
http://cipherli.st上的站点有配置片段,用于为 Apache、nginx 和 lighttpd 设置 Qualys 级 A-Grade TLS。它还包括 HSTS、OCSP-Stapling 和 X-Frame-Options 的语句。
制作结果页面的屏幕截图;在测试服务器时,总会有一些文档链接,以及很多关于如何改进以获得 A 等级的提示:
您确定您按照这些指南进行设置吗?除了 pfs,您还需要启用hsts才能获得 A
iirc可用的密码不依赖于 apache 版本,而是依赖于所使用的 openssl 版本
Mozilla SSL 配置生成器建议您的 Web 服务器和 openSSL 版本的配置,并告诉您哪些客户端能够连接。
您最好的尝试可能是使用Apache 2.2.31 的现代配置文件。