确定 HTTPS apache 连接使用的密码强度

Posted 2023-02-25

【中文标题】确定 HTTPS apache 连接使用的密码强度

【英文标题】：Identify what cipher strength HTTPS apache connections are using

【发布时间】：2014-01-21 10:31:27

【问题描述】：

如何识别 active https 连接到 linux redhat apache 网络服务器的密码强度。我想通过删除强度较低的密码来强化我的网络服务器，并想检查客户端是否正在使用它们。

编辑 我的目标是避免删除客户所依赖的较低安全性密码的负面影响。最坏的情况是，有一个愚蠢的非浏览器（或旧浏览器）应用程序正在使用旧的不安全密码，当我不允许使用此密码时，他/她的应用程序可能会崩溃。我正在尝试主动识别是否有任何应用程序/浏览器使用我要禁用的任何密码。

【参考方案1】：

您可以通过在 mod_ssl 上启用适当级别的日志记录来识别不成功的握手。请参阅http://httpd.apache.org/docs/2.2/mod/mod_ssl.html 上的自定义日志格式部分，尤其是

CustomLog logs/ssl_request_log \ "%t %h %SSL_PROTOCOLx %SSL_CIPHERx \"%r\" %b"

这应该使您能够制作客户端请求的密码列表并相应地配置 Apache。

【参考方案2】：

您的问题和您的目标不一定相关。每个活动连接可以使用基于以下组合的差异密码：（a）服务器上的能力（b）客户端的能力（c）服务器和客户端的密码偏好。查看任何单独的连接不会告诉您您的 SSL 配置是否最佳。

如果您的目标是强化 SSL 配置，我建议您使用 SSL 实验室的SSL Server Test。它根据已知的 SSL 漏洞和最佳实践对您的服务器配置进行评分。

上次更新 SSL 配置时，我使用了这篇博文中的 configuration tips。请注意，对 SSL 漏洞的理解不断变化，因此我建议您每隔一段时间重新运行测试，以确保您的配置是目前已知的最佳配置。

【讨论】：

感谢您的回复。我的目标是避免删除客户端所依赖的较低安全性密码的负面影响。最坏的情况是有一个愚蠢的非浏览器（或旧浏览器）使用旧的不安全密码，当我不允许使用这个密码时，他/她的应用程序可能会中断。我正在尝试主动识别是否有任何应用程序/浏览器使用了我要禁用的任何密码。

如果您查看 SSL 测试的结果，有一个名为“握手模拟”的部分列出了常见的浏览器以及它们如何协商与您的服务器的连接。看一看，确保您想要支持的所有浏览器都能提供您正在寻找的结果（安全强度）。