所以这是一个相对较新的问题。
我的网站在 OPENSuse 10 Enterprise 上部署的 Apache2 服务器上运行。据我所知,有一个简单的命令行测试:
openssl s_client -connect mysite.com:443 -ssl3
假设,如果这返回“SSL 例程:SSL3_READ_BYTES:sslv3 警报握手失败:”作为输出,除其他外,不支持 SSLv3,你很好。它确实如此。所以测试确认 - 我很好。
但问题是,SSLLabs 的人有他们自己的测试。这是一个链接:https ://www.ssllabs.com/ssltest/index.html 。该测试失败并说我实际上很容易受到攻击,因为我的服务器支持 SSLv3。
所以是的,两个测试,完全相反的结果。我信任哪一个?还有其他测试吗?有什么办法可以确定吗?