随着 Chrome、Firefox 等浏览器对 HTTPS 的重视,国内众多云服务厂商都相继提供 SSL 证书申购服务,但是大家有没有注意到一个细节,不同厂家申请的 SSL 证书,由于证书性能、功能差异的原因,开启 HTTPS 后的安全性并不相同。
其中影响 HTTPS 安全度,关键的一项是 HSTS,它可以在用户首次访问网站后,默认优先访问 HTTPS,只要访问过 HTTPS,之后访问该网站就不用担心被挟持了。
正是因为 HTTPS 存在这些细微差异,让我选择了国内5家云服务厂商的 SSL 证书服务在国际权威的 ssllabs 上进行了测试,下面就各家云服务厂商测试的结果。
阿里云(安全性 B)
测试网站:www.toutiao.com,节点测试IP:47.89.67.228,测试结果:B
服务器安全部署隐患为:
服务器支持较弱的 DH 密钥交换参数,安全等级被降低至 B(this server supports weak diffie-hellman (DH) key exchange parameters. Grade capped to B)
服务器支持 RC4,但只能使用较旧的协议,安全等级被降低至 B.(This server accepts RC4 cipher, but only with older protocols. Grade capped to B. )
腾讯云 (安全性A-)
测试网站:www.gongchang.com,节点测试IP:157.255.128.111,测试结果:A-
服务器安全部署隐患为:
服务器不支持使用浏览器完全正向保密,安全等级被降低至 A-(The server does not support Forward Secrecy with the reference browsers. Grade reduced to A-)
又拍云(安全性A+)
测试网站:www.upyun.com,节点测试IP:115.231.100.108,测试结果:A+
该节点开启 HSTS,网站安全性测评为 A+(HTTP Strict Transport Security (HSTS) with long duration deployed on this server.)
七牛云(安全性A-)
七牛云作为融合云厂商,代理其他厂商的 CDN 服务。下面测试为七牛官网,使用的是腾讯云 CDN 。
测试网站:www.qiniu.com,节点测试IP:157.255.128.111,测试结果:A-
服务器安全部署隐患为:
服务器不支持使用浏览器完全正向保密,安全等级被降低至 A-(The server does not support Forward Secrecy with the reference browsers. Grade reduced to A-)
网宿(安全性A)
测试网站:www.damai.com,节点测试IP:220.243.236.26,测试结果:A
ssllabs 测试结果显示国内云服务厂商大多由于其 SSL 证书 DH 密钥交换参数、不支持使用浏览器完全正向保密、只能使用较旧的协议等问题,导致安全评级在 B 或者 A- 存在安全隐患。
而网宿 HTTPS 的评级达到了 A,又拍云达到了 A+,这主要是因为它们具有性能齐全的 SSL 证书, 而 HSTS 功能更是让又拍云的HTTPS 的安全级别达到了 A+ 。
372
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
