本次弱掃差不多所有的几器都出現以下的訊息
針對中進說明跟修正
The HTTPS configuration has one or more security issues identified by the TLS risk assessment.
Risk score: 80/100
Letter grade: B
Findings:
Protocols & Connections: 3 issue(s) found
- [SYS-0000900] ALPN not negotiated (LOW)
- [SYS-0001000] Server does not support TLS_FALLBACK_SCSV (MEDIUM)
如果伺服器支援 TLS_FALLBACK_SCSV,並且發現客戶端當前使用的協議版本比它最高支援的版本低,就會回傳 inappropriate_fallback 錯誤,強制中斷連線
修正 ssl.conf 強制只使用 TLSv1.3
SSLProtocol -all +TLSv1.3
- [SYS-0001200] Server does not support post-quantum key exchange (MEDIUM)
server不支援處理末來來自量子電腦的攻擊 目前無法處理
Cipher Suites: 1 issue(s) found
- [SYS-0011600] Server honors client cipher preference order (MEDIUM)
設定後對client要求較低的算法不予理會 以 server為準
目前已強制只使用 TLSv1.3
Certificate & Chain: 2 issue(s) found
- [SYS-0021000] Certificate expires in less than 90 days (MEDIUM)
快到期會進行更換
- [SYS-0021200] Wildcard certificate in use (LOW)
Revocation & Transparency: 2 issue(s) found
- [SYS-0030200] OCSP stapling not present (MEDIUM)
OCSP(Online Certificate Status Protocol)是用來查詢 X.509 證書是否已被撤銷的協議。傳統做法是瀏覽器自己去 CA 的 OCSP 伺服器查詢
OCSP Stapling(又稱 TLS 證書狀態查詢擴展)改成由伺服器替用戶「提前」向 CA 取得 OCSP 回應,並在 TLS 握手時一起發給瀏覽器,瀏覽器只需驗證這份已簽名的回應,不需要再連 CA
在ssl.con 設定
SSLUseStapling On
SSLStaplingCache shmcb:/var/run/apache2/stapling_cache(150000)
驗証
openssl s_client -connect yourdomain.com:443 -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"
成功與失敗的輸出
成功啟用 OCSP Stapling:回應中會看到類似:
OCSP response:
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
- [SYS-0030300] Must-Staple extension not present (LOW)
DNS Security: 2 issue(s) found
- [SYS-0050100] No CAA records (any CA can issue certificates) (MEDIUM)
如果域名 沒有 CAA 記錄:
CA 會認為「沒有特別限制」,任何 CA 都可以為你頒發憑證
如果域名 有 CAA 記錄:
CA 必須檢查自己是否被授權,只有被列在 CAA 中的 CA 才能頒發憑證 。
在DNS上設定 假設憑証是由 twca 發行
@ IN CAA 0 issue "twca.com.tw"
@ IN CAA 0 issuewild "twca.com.tw"
- [SYS-0050200] No DANE/TLSA records (LOW)
Other: 1 issue(s) found
- [SYS-0060600] Certificate covers 2-5 SANs (minor attack surface disclosure) (LOW)
沒有留言:
張貼留言