Fondamentalmente accettando, ma aggiungendo diversi punti:
Le suite di crittografia sono nel codice OpenSSL (tecnicamente la libreria non è l'eseguibile). Già OpenSSL corretto
implementa quasi tutte le suite standard, quindi non c'è nulla di utile da aggiungere.
Tuttavia RedHat e AIUI hanno anche pacchetti CentOS fino alla fine del 2013 esclusi dalla compilazione tutti
Caratteristiche della curva ellittica (ECC): questo ha eliminato i certificati ECDSA (non ancora ampiamente utilizzati, almeno);
Scambi di chiavi ECDH (statici) e AECDH (anon) che praticamente nessuno utilizza;
e ECDHE (effimero) scambio di chiavi che è sempre più usato ed è altamente desiderabile - fornisce il segreto in avanti
come DHE ma in modo più efficiente e per un browser importante (IE) sempre più disponibile.
Quindi l'aggiornamento a un pacchetto OpenSSL più recente può aiutare. Oppure ottenere upstream link e costruirlo da soli, ma è un po 'più di lavoro.
@Rook
La pagina sslshopper è abbastanza vecchia e non più accurata. Per disabilitare SSLv2 (buono) usa un metodo che disabilita anche
TLSv1.1 e 1.2 (molto male; 1.1 in particolare è una difesa molto più mirata a BEAST rispetto a RC4). Esclude correttamente
ADH ma non riesce a escludere AECDH (preferibilmente tramite un NULL). E senza spiegazione o background,
scoraggia gli utenti dalla scoperta di questi errori. Raccomando invece
link et al
e / o link .
Se il tuo server è pubblico (e la conformità PCI è un problema principalmente per i server pubblici)
Il link (Qualys) fornisce un test più ampio e aggiornato con alcune spiegazioni.