Como posso saber se o PFS está habilitado?

0

Eu tenho 2 perguntas ... primeiro, essa configuração é considerada "segura" ?

Em segundo lugar, como posso saber se o sigilo de encaminhamento perfeito está ativado ?

    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers "EECDH+AESGCM EDH+AESGCM EECDH -RC4 EDH -CAMELLIA -SEED !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
    
por DanFromGermany 09.12.2013 / 16:49

2 respostas

3

How can I tell whether PFS is enabled?

is 128-bit SHA1 considered "secure"?

As perguntas sobre criptografia são bastante complexas e envolvem inúmeros fatores diferentes que podem afetar a segurança geral, por isso é difícil dizer o que é bom ou não. Além disso, depende inteiramente de você e de suas necessidades.

Se você estiver usando SSL casualmente para um blog pessoal ou algo assim, então é mais que suficiente. Se você estiver usando para fornecer um botão de doação para um pequeno site pessoal, ainda é suficiente. Se você estiver usando um site financeiro como o de um banco, talvez queira considerar algo um pouco mais strong.

O governo dos EUA considera o AES-128 bom o suficiente para documentos no nível “TOP SECRET”, mas o SHA1 colisões foram encontradas desde 2005. É claro que eram para um subconjunto reduzido de SHA1, mas isso não é uma garantia de segurança indefinida. ( Nenhuma colisão foi encontrada para o SHA2 ainda.)

Se você examinar o SSL usado por diversos websites (capturas de tela abaixo), além de alguns resultados interessantes e curiosos, você perceberá que muitos deles usam RC4 para criptografia, SHA1 para autenticação e RSA para troca de chaves. Se isso é bom o suficiente para bancos e governos, provavelmente é bom o suficiente para a maioria dos usuários.

Second, how do I tell whether perfect forward secrecy is enabled?

Lorrin e Reid deram respostas completas ao uso de SSL com o PFS. Uma coisa que noto é que você realmente evitou o RC4 por algum motivo.

Você pode testar seu servidor para segurança antecipada (e outros aspectos de segurança) com o teste do servidor SSL Lab . (Uma nota curiosa é que mesmo os sites de alta segurança abaixo não parecem validar para segurança futura. Eu não sei qual site o artigo SSL Labs: implantando o secretismo" usado para a captura de tela do FS que trabalha em vários clientes. p>



Figura 1 : implementação SSL do Google

Figura2:implementaçãoSSLdoPayPal

Figura 2 : implementação SSL do banco Chase-Manhattan

Figura3:aimplementaçãoSSLdaCIA

Figura 2 : a implementação SSL inconsistente do FBI

Figura2:oDHSnãousaSSLemsuapáginainicial,apesardeapresentarumartigosobresegurançacibernética

    
por 22.12.2013 / 18:33
0

Você pode responder a ambas as suas perguntas se usar qualquer número de sites de verificação de certificados SSL. Por exemplo, o link e / ou link dá-lhe uma boa visão geral da qualidade do seu Certificado SSL e quão bem o seu servidor web está configurado para lidar com vários parâmetros de criptografia. Também fornece links para informações úteis sobre como solucionar problemas detectados.

    
por 23.12.2013 / 03:30