所以这是一个相对较新的问题。
我的网站运行在部署在OPENSuse 10 Enterprise上的Apache2服务器上。据我所知,有一个简单的命令行测试:
openssl s_client -connect mysite.com:443 -ssl3
据推测,如果这返回"SSL例程:SSL3_READ_BYTES:sslv3警报握手失败:"作为输出,则sslv3不受支持,您完全可以。确实如此。所以测试确认了——我一切都很好。
但问题是,SSLAbs的人有自己的测试。这里有一个链接:https://www.ssllabs.com/ssltest/index.html。这个测试失败了,并说我实际上很脆弱,因为我的服务器支持SSLv3。
是的,两次测试,结果完全相反。我信任哪一个?还有其他测试吗?有什么办法可以确定吗?
我不会仅仅依靠运行测试,学习如何编写SSL配置并实现一个安全的配置,这包括确保在服务器配置级别禁用SSL3。Cipherli.st有一个很好的预制SSL配置列表,这些配置是安全的,
您真的有OPENSuse 10 Enterprise吗?旧版本是否仍有可用的安全更新?请考虑升级您的操作系统!
测试只能检测它正在寻找的安全漏洞。因此,当你从测试中得到警告时,你应该生气并采取行动。如果你没有得到任何警告,测试可能只是忽略了一个安全漏洞。SSLAbs的测试是一个很好的测试套件。