1

所以这是一个相对较新的问题。

我的网站在 OPENSuse 10 Enterprise 上部署的 Apache2 服务器上运行。据我所知,有一个简单的命令行测试:

 openssl s_client -connect mysite.com:443 -ssl3

假设,如果这返回“SSL 例程:SSL3_READ_BYTES:sslv3 警报握手失败:”作为输出,除其他外,不支持 SSLv3,你很好。它确实如此。所以测试确认 - 我很好。

但问题是,SSLLabs 的人有他们自己的测试。这是一个链接:https ://www.ssllabs.com/ssltest/index.html 。该测试失败并说我实际上很容易受到攻击,因为我的服务器支持 SSLv3。

所以是的,两个测试,完全相反的结果。我信任哪一个?还有其他测试吗?有什么办法可以确定吗?

4

2 回答 2

0

我不会依赖简单的运行测试,学习如何编写 SSL 配置并实现一个安全的配置,这包括确保在服务器配置级别禁用 SSL3。Cipherli.st有一个很好的预制 SSL 配置列表,这些配置是安全的,

于 2015-09-24T23:34:43.047 回答
0

你真的有 OPENSuse 10 Enterprise 吗?旧版本是否还有可用的安全更新?考虑升级您的操作系统!

测试只能检测它正在寻找的安全漏洞。因此,当您从测试中收到警告时,您应该生气并采取行动。如果您没有收到任何警告,则测试可能只是忽略了一个安全漏洞。SSLLabs 的测试是一个很好的测试套件。

于 2015-09-25T08:03:26.737 回答