2026/07/08

本次弱掃差不多所有的几器都出現以下的訊息

針對中進說明跟修正


The HTTPS configuration has one or more security issues identified by the TLS risk assessment.


Risk score: 80/100

Letter grade: B

Findings:

Protocols & Connections: 3 issue(s) found

- [SYS-0000900] ALPN not negotiated (LOW)

- [SYS-0001000] Server does not support TLS_FALLBACK_SCSV (MEDIUM)

如果伺服器支援 TLS_FALLBACK_SCSV,並且發現客戶端當前使用的協議版本比它最高支援的版本低,就會回傳 inappropriate_fallback 錯誤,強制中斷連線

    修正 ssl.conf 強制只使用 TLSv1.3
    SSLProtocol -all +TLSv1.3


- [SYS-0001200] Server does not support post-quantum key exchange (MEDIUM)

server不支援處理末來來自量子電腦的攻擊 目前無法處理 

Cipher Suites: 1 issue(s) found

- [SYS-0011600] Server honors client cipher preference order (MEDIUM)

設定後對client要求較低的算法不予理會 以 server為準

    目前已強制只使用 TLSv1.3


Certificate & Chain: 2 issue(s) found

- [SYS-0021000] Certificate expires in less than 90 days (MEDIUM)

    快到期會進行更換

- [SYS-0021200] Wildcard certificate in use (LOW)

Revocation & Transparency: 2 issue(s) found

- [SYS-0030200] OCSP stapling not present (MEDIUM)

OCSP(Online Certificate Status Protocol)是用來查詢 X.509 證書是否已被撤銷的協議。傳統做法是瀏覽器自己去 CA 的 OCSP 伺服器查詢

OCSP Stapling(又稱 TLS 證書狀態查詢擴展)改成由伺服器替用戶「提前」向 CA 取得 OCSP 回應,並在 TLS 握手時一起發給瀏覽器,瀏覽器只需驗證這份已簽名的回應,不需要再連 CA 

    在ssl.con 設定 
    SSLUseStapling On
    SSLStaplingCache shmcb:/var/run/apache2/stapling_cache(150000)

    驗証 

    openssl s_client -connect yourdomain.com:443 -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"

    成功與失敗的輸出

    成功啟用 OCSP Stapling:回應中會看到類似:

    OCSP response:
    OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response


- [SYS-0030300] Must-Staple extension not present (LOW)

DNS Security: 2 issue(s) found

- [SYS-0050100] No CAA records (any CA can issue certificates) (MEDIUM)

如果域名 沒有 CAA 記錄:
CA 會認為「沒有特別限制」,任何 CA 都可以為你頒發憑證 

如果域名 有 CAA 記錄:
CA 必須檢查自己是否被授權,只有被列在 CAA 中的 CA 才能頒發憑證 。

    在DNS上設定  假設憑証是由 twca 發行
    
    @       IN  CAA 0 issue "twca.com.tw"
    @       IN  CAA 0 issuewild "twca.com.tw"



- [SYS-0050200] No DANE/TLSA records (LOW)

Other: 1 issue(s) found

- [SYS-0060600] Certificate covers 2-5 SANs (minor attack surface disclosure) (LOW)

沒有留言: