嗯,前几天已经强制了对博客使用https访问……感觉很好很强大,博客的等级突然就高起来了。
今天偶尔发现一个网站(https://www.ssllabs.com/ssltest/index.html),可以检查网站的安全性,于是兴冲冲的去测试了一下,结果发现了几个小问题(主要的,更零碎的就没管了)。
- 启用了一种长度较短的加密算法;
- 没有提供完整的证书链;
- 可能受到BEAST攻击;
前面两个的话好说,稍微查了一下网络就ok,而且startssl也提供了完整的安装教程(lighttpd Apache nginx),略后悔没有仔细看。
问题是最后一个,BEAST攻击究竟是什么啊……
上网做了很多很多的Google,还打错字了,打成了beats,于是魔声总是出来捣乱。
最后,在一个网站(http://permalink.gmane.org/gmane.linux.debian.devel.security/16698)找到了一份方案,看起来像是一份邮件的备份。
里面提到了lighttpd的解决办法,就是在配置文件里面指定一下加密的算法,并且让服务器优先使用某些算法,就可以组织这种攻击了。
ssl.cipher-list = "ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM" ssl.honor-cipher-order = "enable"
应用了之后,再去做测试,果然BEAST攻击的提示没有了。
不错,值得借鉴!