在 Qualys SSL Labs SSL 测试中获得 A+ 评级的秘技 2020版 - 概述

原创

sysin 2024-01-01 10:49:37 博主文章分类：HTTP ©著作权

文章标签 SSL Test SSL Server 解决方案 文章分类 MySQL 数据库

©著作权归作者所有：来自51CTO博客作者sysin的原创作品，请联系作者获取转载授权，否则将追究法律责任

作者：gc，主页：www.sysin.org

本系列文章将介绍主流应用交付控制器和主流 Web 服务器运行 HTTP/2 及相应的 TLS 协议，如何在 SSL Test 中获得 A+ 评级。

Qualys SSL Labs 简介

Qualys，Inc.（NASDAQ:QLYS）是云安全和合规解决方案的先驱和领先提供商，在100多个国家拥有6700多个客户，其中包括福布斯全球100强和财富100强中的大多数。QualysGuard 云平台和集成解决方案套件通过按需提供关键的安全智能并自动化IT系统和web应用程序的全方位审核、法规遵从性和保护，帮助组织简化安全操作并降低合规成本。Qualys 成立于1999年，与英国电信、戴尔安全工程、富士通、IBM、NTT、Symantec、Verizon 和 Wipro 等领先的托管服务提供商和咨询机构建立了战略合作关系。该公司还是云安全联盟（CSA）的创始成员。

SSL Labs 推出的全球知名的 SSL 网站在线检测工具，会对 HTTPS 网站的证书链、安全性、性能、协议细节进行全面检测，检测完毕后会进行打分，同时给出一份详细的检测报告和改进建议。

测试网站：https://www.ssllabs.com/ssltest/

测试规则概述

2020年算法变更

January 2020

主要是修改了 TLS 1.0 和 TLS 1.1 的评分标准，TLS 1.0 和 TLS 1.1 是分别于 1996 年和 2006 年发布的老版协议，使用的是弱加密算法和系统。比如 SHA-1 和 MD5，这些算法和系统十分脆弱，存在重大安全漏洞，容易受到降级攻击的严重影响，而在 2008 年和 2017 年分别发布了协议的新版本，即 TLS 1.2 和 TLS 1.3，无疑更优于旧版本，使用起来也更安全。

2018 年，在春季 TLS 1.3 版本发布之后，苹果、谷歌、Mozilla 和微软四大浏览器制造商于 2018 年 10 月联合宣布计划在 2020 年初取消对 TLS 1.0 和 TLS 1.1 的支持。

主流浏览器客户端都提供了禁用 TLS 1.0 和 TLS 1.1 协议的大致期限：

Browser Name	Date
Microsoft IE and Edge	First half of 2020
Mozilla Firefox	March 2020
Safari/Webkit	March 2020
Google Chrome	January 2020

Existing Grades Sample

Server Configuration	Grade
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + No Warning + TLS_FALLBACK_SCSV	A+
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + No Warning + No support for TLS_FALLBACK_SCSV	A
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + Warnings + No support for TLS_FALLBACK_SCSV	A-

Future Grades Sample

Server Configuration	Grade
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + No Warning + TLS_FALLBACK_SCSV	B
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + No Warning + No support for TLS_FALLBACK_SCSV	B
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + Warnings + No support for TLS_FALLBACK_SCSV	B
TLS 1.2 + HSTS + No Warning + TLS_FALLBACK_SCSV	A+
TLS 1.2 + HSTS + No Warning + No support for TLS_FALLBACK_SCSV	A
TLS 1.2 + HSTS + Warnings + No support for TLS_FALLBACK_SCSV	A-

References

Modernizing TLS connections in Microsoft Edge and Internet Explorer 11 : https://blogs.windows.com/msedgedev/2018/10/15/modernizing-tls-edge-ie11/
Removing Old Versions of TLS : https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls/
Deprecation of Legacy TLS 1.0 and 1.1 Versions: https://webkit.org/blog/8462/deprecation-of-legacy-tls-1-0-and-1-1-versions/
Modernizing Transport Security: https://security.googleblog.com/2018/10/modernizing-transport-security.html
Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS): https://tools.ietf.org/html/rfc7525