所以这是一个相对较新的问题。
我的网站在部署在OPENSuse 10 Enterprise上的Apache2服务器上运行。据我所知,有一个简单的命令行测试:
openssl s_client -connect mysite.com:443 -ssl3
据说,如果这返回" SSL例程:SSL3_READ_BYTES:sslv3警报握手失败:"作为输出,除其他外,不支持SSLv3,你完全没问题。确实如此。所以测试确认 - 我一切都很好。
虽然问题出在这里,SSLLabs的人都有自己的测试。这是一个链接:https://www.ssllabs.com/ssltest/index.html。该测试失败并且说我实际上是易受攻击的,因为我的服务器支持SSLv3。
所以,两次测试,完全相反的结果。我信任哪一个?还有其他测试吗?有什么办法可以肯定吗?
答案 0 :(得分:0)
我不会依赖于简单地运行测试,学习如何编写SSL配置并实现安全的配置,这包括确保在服务器配置级别禁用SSL3。 Cipherli.st有一个很好的预制SSL配置列表,这些配置是安全的,
答案 1 :(得分:0)
你真的拥有OPENSuse 10 Enterprise吗?是否还有旧版本的安全更新?考虑升级您的操作系统!
测试只能检测它正在寻找的安全漏洞。因此,当您从测试中收到警告时,您应该感到恼火并采取行动。如果你没有得到任何警告,测试可能只是忽略了一个安全漏洞。 SSLLabs的测试是一个很好的测试套件。