自從MySSL推出以後,不少網站HTTPS檢測評分都達到了A或者A+,但在看檢測結果的時候,發現相似於百度和淘寶這類大用戶羣的網站竟然沒有評級到A或者在使用的加密套件上有橙色的加密套件,這就讓咱們很是詫異,難道是這些個網站不注重安全麼?html
若是說百度評級不高,那還能說得過去,畢竟在搜索的時候沒啥重要信息,犧牲一點安全性獲取極致的兼容性。可是淘寶這種電商不該該不會不重視網站的安全性。那又是什麼緣由讓這些網站形成了這種狀況呢?經過仔細的觀察報告結果和查詢資料發現,這些網站這樣作的緣由是爲了更好的兼容性,但各家也有不一樣的作法:nginx
百度瀏覽器
先來看一下的百度的評分:安全
從圖中能夠看出www.baidu.com這個網站的評分是C,形成這個評分的主要緣由是使用RC4加密套件,文章一開始就說了,評不到A或者更高的緣由是爲了兼容性,那麼再看一下客戶端模擬的結果:服務器
從這裏發現哪怕用戶使用的是IE6這款老古董級別的瀏覽器也能訪問百度。這樣的兼容性能夠說是異常良好了。可是安全性就有點欠缺,若是要適配IE6這款瀏覽器,那麼SSL協議就必須得支持SSL2和SSL3,由於IE6支持也僅支持這兩個協議,SSL2是明確說明不安全的了,SSL3上又有著名的POODLE漏洞問題,SSL3上的全部CBC加密套件都會受該漏洞影響,除去CBC加密套件,那麼就只剩下RC4系列的加密套件了,這個沒得選擇。工具
淘寶網站
相對於百度,面對兼容性問題,淘寶又是另外一種作法了。加密
淘寶雖然評分到了A,可是在支持的加密套件中存在橙色的選項:htm
從圖中能夠看出淘寶捨棄了SSL3協議,換句話說就是放棄了對IE6的支持,這個從客戶端模擬結果上也能夠體現出來:blog
可是那個黃色的TLS_RSA_WITH_3DES_EDE_CBC_SHA又是什麼緣由呢?這是爲了兼容XP上的IE8這類瀏覽器,這些瀏覽器器支持加密套件基本都是不安全的,惟一比較安全的就是3DES系列的了。爲了兼容這些瀏覽器這應該算是一種比較好的方式了。
如何達到A+
最近發現有不少blog主在他們的blog中推薦咱們MySSL,這讓咱們很是驚喜,在這裏首先感謝一下這些blog主對咱們MySSL的推廣。
可是在看到 給啓用 SSL 的站點推薦個 HTTPS 專用工具網站 的評論中,有一些blog主對如何評到A以及A+不是很理解,這裏簡單的說明一下。
首先要是,這個評分,並不單單是針對於證書的部署狀況而言的,這是一個多方面綜合的評級。其中包括了證書、SSL協議、加密套件、漏洞、不安全的外鏈等等。若是您的網站的評分已經達到A,那麼沒有被評到A+的最大的可能性就是沒有使用HSTS,使用HSTS的方法很簡單,只要在添加Strict-Transport-Security這個HTTP頭部信息便可。
用nginx服務器作說明:
add_header Strict-Transport-Security "max-age=31536000";
但有一點須要注意,Strict-Transport-Security中的max-age的時間不能小於15552000。
總結
若是您的服務器須要支持IE6這種古董級別的瀏覽器,那麼就按照百度的作法,若是說對兼容性沒有太大的需求,只要主流的瀏覽器可以訪問那麼就不要支持3DES系列的加密套件,若是說想要在保證安全性的同時,也要有最好的兼容性,那麼就請按照淘寶的配置方式進行配置。
下面給出這三種配置狀況:
相似百度
Nginx
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
相似淘寶
Nginx
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
最好的安全性
Nginx
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
但也有可能由於openssl版本的不一樣會致使相同的配置獲得不一樣的檢測結果。若是您的openssl處於較新的版本那麼按照最好的安全性進行配置,獲得一個A,應該是沒有問題的。