测试在这里:https ://www.ssllabs.com/ssltest 你可以在这里查看 Heroku 的成绩:https ://www.ssllabs.com/ssltest/analyze.html?d=heroku.com 。它为不同的服务器混合了“B”和“A”。
我的网站是www.wealthypockets.com。您可以在此处查看我的测试结果:https ://www.ssllabs.com/ssltest/analyze.html?d=www.wealthypockets.com - 实心“B”。
这是一个两部分的问题:
1)我是否应该担心没有得到“A”?特别是关于“BEAST”攻击和 DOS 潜力?
2) 我能做些什么来提高分数吗?还是等待 Heroku 改进?
分别回答两部分:
1)很难说你是否应该担心在这方面没有得到 A,因为要求似乎并不公开。
BEAST 攻击是一种有趣且有些复杂但有效的攻击,它利用了 SSLv3 和 TLSv1.0 中的漏洞。攻击者需要能够将脚本安装到用户的浏览器并通过 SSL 连接发送已知数据。攻击者还需要能够嗅探连接,从而可以解密以下部分数据。这已在 TLSv1.1 及更高版本中得到修复,并且许多浏览器通过不通过同一通道将所有请求发送到特定服务器来增加对 BEAST 攻击的保护。
2)我刚刚检查了heroku.com和你的网站等级,它们似乎是完整的。我没有找到任何关于如何调整Heroku SSL参数的信息,除了安装证书,所以我相信这不是你可以控制的东西。不过我不会太担心,许多 SSL 攻击都是理论上的,而 BEAST 是迄今为止最糟糕的(可能是重新协商攻击,但这主要是修补服务器端)。您的网站似乎很简单,攻击者无法编辑内容,因此应该不可能进行 BEAST 攻击。不过,如果 Heroku 更喜欢 TLSv1.1 而不是 TLSv1.0,那就太好了。