BEAST

嗯，前几天已经强制了对博客使用https访问……感觉很好很强大，博客的等级突然就高起来了。

今天偶尔发现一个网站（https://www.ssllabs.com/ssltest/index.html），可以检查网站的安全性，于是兴冲冲的去测试了一下，结果发现了几个小问题（主要的，更零碎的就没管了）。

• 启用了一种长度较短的加密算法；
• 没有提供完整的证书链；
• 可能受到BEAST攻击；

前面两个的话好说，稍微查了一下网络就ok，而且startssl也提供了完整的安装教程（lighttpd Apache nginx），略后悔没有仔细看。

问题是最后一个，BEAST攻击究竟是什么啊……

上网做了很多很多的Google，还打错字了，打成了beats，于是魔声总是出来捣乱。

最后，在一个网站（http://permalink.gmane.org/gmane.linux.debian.devel.security/16698）找到了一份方案，看起来像是一份邮件的备份。

里面提到了lighttpd的解决办法，就是在配置文件里面指定一下加密的算法，并且让服务器优先使用某些算法，就可以组织这种攻击了。

ssl.cipher-list =  "ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM"
ssl.honor-cipher-order = "enable"

应用了之后，再去做测试，果然BEAST攻击的提示没有了。

SSLLab测试结果