用sslscan 檢測你的HTTPS 連線協定安全性

至少要使用TLS 1.0 以上的加密協定，TLS 1.2 更好但是會犧牲IE 6 這個老舊瀏覽器的支援性。

透過sslscan 掃描SSL 加密方式. 想要測試某個網站啟用哪些SSL ... 用sslscan檢測你的HTTPS連線協定安全性Tags:HTTPS不一定安全QualysSSLLabsGradeASSL安全性問題TLSHTTPSbySJ on 2017/07/15 in Linux,系統管理承認吧，你的HTTPS其實不太安全網站並不是用了HTTPS就一定安全，隨著電腦運算速度與Hack技術的進步，很多早期的SSL加密模式已經開始浮現漏洞，讓Hacker可以在比較合理的時間解密HTTPS封包，像是SSLv2/v3等等比較老舊的加密模式，因此建議直接由WebServer關閉禁止使用這些脆弱的加密方式。

至少要使用TLS1.0以上的加密協定，TLS1.2更好但是會犧牲IE6這個老舊瀏覽器的支援性。

透過sslscan掃描SSL加密方式想要測試某個網站啟用哪些SSL協定，可以透過sslscan這個工具(GitHub)達成，編譯與操作如下：先安裝編譯環境需要的套件sudoapt-getinstallbuild-essentialgitzlib1g-devsudoapt-getbuild-depopenssl從GitHub下載SourceCose編譯安裝gitclonehttps://github.com/rbsec/sslscancdsslscanmakestatic執行sslscan測試網站./sslscanblog.toright.com:443執行後會回應以下報告，可以看出這個網站的HTTPS提供了哪些加密協定？網路上還有一個線上檢測的服務 QualysSSLLabs可以直接告訴你哪些協定是不安全的，而且更新速度很快，有興趣的可以連進去線上測試看看，能拿到GradeA算是當下很安全了。

筆記：HAProxySSL安全協定建議設定(2020/04/15QualysSSLLabsGradeA?)12345global     tune.ssl.default-dh-param  2048    ssl-default-bind-optionsno-tlsv11no-tlsv10no-sslv3no-tls-tickets    ssl-default-bind-ciphersECDHE+aRSA+AES256+GCM+SHA384:ECDHE+aRSA+AES128+GCM+SHA256:ECDHE+aRSA+AES256+SHA384:ECDHE+aRSA+AES128+SHA256:AES256+GCM+SHA384:AES128+GCM+SHA256:AES128+SHA256:AES256+SHA256:HIGH:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSSHAProxy設定方法如上，需要的人可以參考看看，可以拿到 GradeA。

2020/04/15Update:移除TLSv1/v1.1,SHA筆記：ApacheSSL安全協定建議設定(2017/07/26QualysSSLLabs GradeA)1234567891011#SSLOptionsSSLEngineonSSLProtocolall-SSLv2-SSLv3SSLHonorCipherOrderonSSLCipherSuiteEECDH+AES:AES256-SHA:AES128-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH:!EXP:!SRP:!DSS:!LOW;SSLVerifyClientnoneSSLVerifyDepth1SSLOptions+StrictRequire #GuaranteeHTTPSfor180daysincludingsubdomainsHeaderalwayssetStrict-Transport-Security"max-age=15768000;includeSubDomains"被電爆後補上這個Blog的ApacheSSL設定，QualysSSLLabs拿到GradeA，最高只能87分不能再高了.......更多文章2012正統鹿耳門聖母廟之元宵不夜城嘉年華會MongoDB3.0開啟連線認證功能(筆記)系統設計書範例Windows用DiskPart命令清除無法識別的分割區手作歐姆蛋教學食譜–開餐廳的最後一里路專案排程範例AoN演算法NameCheapSSLCertificate申請教學(筆記)這是真的廣告白金贊助分享此文分享到Twitter(在新視窗中開啟)按一下以分享至Facebook(在新視窗中開啟)分享到LinkedIn(在新視窗中開啟)點這裡寄給朋友(在新視窗中開啟)按一下即可分享至Skype(在新視窗中開啟)分享到Reddit(在新視窗中開啟)分享到Tumblr(在新視窗中開啟)按一下以分享到Telegram(在新視窗中開啟)Postnavigation←手作草莓瑞士卷需要點運氣(蛋餅達成)安裝ElasticSearch+Kibana實現中文全文搜尋與數據分析→本著作由 SJ 製作，以創用CC姓名標示-禁止改作3.0Unported授權條款釋出。

聾子聽到啞巴說瞎子看到鬼！Searchfor:分類App開發iOS&AppleLinuxWeb開發假文青聽音樂其他雜項區塊鏈吃喝玩樂宅系手作敏捷開發科技與科學程式設計系統管理網際網路自己動手做自由軟體軟體工程雲端AI大數據求分享求關注友站連結Holly和你NiNi的好好尼洛的無國界美食我的世界轉轉轉Booking訂房優惠贊助廣告樂樂童鞋蝦皮領卷免運活動FacebookPage傳送到電子郵件地址你的姓名你的電子郵件地址取消文章未送出─請檢查你的電子郵件地址！電子郵件地址檢查失敗，請再試一次抱歉，你的網誌無法透過電子郵件分享