最近,Diffie-Hellman中的一个新的漏洞(非正式地被称为“logjam”)已经发布, 本页面已经被整合在一起,提出了如何应对漏洞: 对于正确部署Diffie-Hellman for TLS,我们有三条build议: 禁用导出密码套件。 尽pipe现代浏览器不再支持导出套件,但FREAK和Logjam攻击允许一个中间人攻击者欺骗浏览器使用出口级encryption,之后可以解密TLS连接。 出口密码是1990年代政策的一个残余,它阻止了强大的密码协议从美国出口。 没有现代客户依赖出口套件,并且禁用它们几乎没有什么坏处。 部署(临时)椭圆曲线Diffie-Hellman(ECDHE)。 椭圆曲线Diffie-Hellman(ECDH)密钥交换避免了所有已知的可行的密码分析攻击,现代networking浏览器现在更喜欢ECDHE而不是原始的有限域Diffie-Hellman。 我们用来攻击标准Diffie-Hellman组的离散对数algorithm不像预计算那样强大,并且单个服务器不需要生成唯一的椭圆曲线。 生成强大而独特的Diffie Hellman组 。 数百万个服务器使用了一些固定的组,这使得它们成为预计算和潜在窃听的最佳目标。 pipe理员应该使用每个网站或服务器的“安全”素数生成独特的2048位或更强的Diffie-Hellman组。 根据上述build议,我应该采取哪些最佳实践步骤来保护我的服务器?
这是关于select正确的Apache httpd MPM的典型问题 。 我对Apache提供的不同MPM(“worker”,“event”,“prefork”等)有些困惑。 他们之间的主要区别是什么?我怎样才能决定哪一个最适合给定的部署?