测试在这里:https://www.ssllabs.com/ssltest 你可以在这里看到Heroku的成绩:https://www.ssllabs.com/ssltest/analyze.html?d=heroku.com。它为不同的服务器提供了“B”和“A”的混合。
我的网站是www.wealthypockets.com。你可以在这里得到我的测试结果:https://www.ssllabs.com/ssltest/analyze.html?d=www.wealthypockets.com - 一个坚实的“B”。
这是一个由两部分组成的问题:
1)我应该担心没有获得“A”吗?特别是关于“BEAST”攻击和DOS潜力?
2)我能做些什么才能获得更高的分数?或者这是关于等待Heroku改进的事情?
答案 0 :(得分:0)
分别回答这两个部分:
1)很难说你是否应该担心没有获得A,因为这些要求似乎并不公开。
BEAST攻击是一种有趣且有些复杂但有效的攻击,它使用SSLv3和TLSv1.0中的漏洞。攻击者需要能够将脚本安装到用户的浏览器并通过SSL连接发送已知数据。攻击者还需要能够嗅探连接,因此可以解密部分以下数据。这已在TLSv1.1及更高版本中得到修复,并且许多浏览器通过不通过同一通道将所有请求发送到特定服务器来增加对BEAST攻击的保护。
2)我刚检查了heroku.com和你的网站等级,它们似乎是完整的A.我没有找到任何关于如何调整Heroku SSL参数的信息,除了安装证书,所以我相信这不是你可以控制的。我不会太担心,许多SSL攻击都是理论上的,BEAST是迄今为止最糟糕的(可能是重新协商攻击,但这主要是修补服务器端)。您的网站似乎非常简单,攻击者无法编辑内容,因此无法进行BEAST攻击。如果Heroku更喜欢TLSv1.1而不是TLSv1.0,那将会很不错。