不太确定这是否是适当的SE发布此,但在这里:是否有一些在线参考什么SSL密码支持各种浏览器? 基本上,我感兴趣的是通过确保较低的密钥长度和旧的污垢algorithm(DES和3DES)不被用于与客户的通信来加固系统。
这样做的方式(至less在Apache mod_ssl中)似乎是控制服务器在握手期间给予的支持的密码。
我想能够回答像“如果我强迫AES256,哪些浏览器将打破?”的问题。
对于某些网站来说,这是可取的,因为它为我们保密的交谈提供了一些保证。 如果他们的浏览器只支持被认为是不安全的连接,我们希望会话中断,所以他们被迫使用更现代/强大的客户端。
这是解决问题的正确方法吗?
所有的SSL / TLS服务器应该(必须)提供一种机制来指定一个密码组首选项和可用的密码:如果你不想使用不安全的algorithm,那么不要configuration它们。 优先考虑更强的密码(如果安全是你的优先考虑的话)。
显然,我们不能告诉你什么样的密码符合你的安全要求。 但是,维护客户端浏览器支持的密码列表是一项艰巨的任务。 Google,PayPal,eBay等大型公司也积极承诺 – 为什么不只是testing他们目前提供的服务呢?
(请记住,有些网站纯粹将HTTPS作为谈判SPDY的跳板)。