首页>技术支持>常见问题问答>如何设置Web服务器支持强制128位加密?

如何设置Web服务器支持强制128位加密?

虽然常见问题问答《为何 WoSign 新根证书将不再签发支持SGC技术的SSL证书?》已经详细描述了为何用户根本没有任何必要购买支持SGC强制128位加密的SSL证书,但是还有许多用户仍然对支持SGC强制128位加密的SSL证书情有独钟。这说明用户希望自己的系统能尽量满足各种用户的加密需要,对自己的系统的安全还是认真负责的。

但是,要做到强制128位加密并不需要所谓没有任何作用的SGC技术的SSL证书,只要用户设置服务器只启用支持128位加密强度的加密套件即可。把服务器上的支持40位、56位加密的加密套件都关闭,这样强制用户必须使用支持128位加密强度的浏览器来登录系统。

可怕的是:许多已经部署了所谓的支持强制128位加密算法的SSL证书的网站,都没有关闭不安全的40位和56位加密套件,这样即使服务器部署了支持强制128位加密算法的SSL证书,黑客仍然可以恶意使用40位加密强度去与服务器通信,用户冤枉花昂贵的价格购买了支持强制128位加密算法的SSL证书!

所以,您希望实现强制128位加密,设置服务器仅支持128位及以上的加密即可,根本不需要换昂贵的价格购买所谓的支持强制128位加密算法的SSL证书。

对于IIS服务器器,缺省情况下的加密套件一般都保留了40位和56位加密套件,如下表:

TLS_RSA_WITH_RC4_128_MD5(0x4) 128位 [安全]
TLS_RSA_WITH_RC4_128_SHA(0x5) 128位 [安全]
TLS_RSA_WITH_AES_128_CBC_SHA(0x2f) 128位 [安全]
TLS_RSA_WITH_AES_256_CBC_SHA(0x35) 256位 [安全]
TLS_RSA_WITH_3DES_EDE_CBC_SHA(0xa) 168位 [安全]
TLS_RSA_WITH_DES_CBC_SHA(0x9) 56位 [不安全]
TLS_RSA_EXPORT_WITH_RC4_40_MD5(0x3) 40位 [不安全]
TLS_RSA_EXPORT_WITH_DES40_CBC_SHA(0x8) 40位 [不安全]
TLS_DHE_RSA_WITH_AES_256_CBC_SHA(0x39) 256位 [安全]
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA(0x16) 168位 [安全]
TLS_DHE_RSA_WITH_AES_128_CBC_SHA(0x33) 128位 [安全]
TLS_DHE_RSA_WITH_DES_CBC_SHA(0x15) 56位 [不安全]
TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA(0x14) 40位 [不安全]
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5(0x6) 40位 [不安全]

而只要修改服务器中的注册表关闭不安全的40位和56位加密套件,仅保留128位和256位加密套件,不用多花一分钱就能实现强制128位加密了。如下表所示:

TLS_RSA_WITH_RC4_128_MD5(0x4) 128位 [安全]
TLS_RSA_WITH_RC4_128_SHA(0x5) 128位 [安全]
TLS_RSA_WITH_AES_128_CBC_SHA(0x2f) 128位 [安全]
TLS_RSA_WITH_AES_256_CBC_SHA(0x35) 256位 [安全]
TLS_RSA_WITH_3DES_EDE_CBC_SHA(0xa) 168位 [安全]
TLS_DHE_RSA_WITH_AES_256_CBC_SHA(0x39) 256位 [安全]
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA(0x16) 168位 [安全]
TLS_DHE_RSA_WITH_AES_128_CBC_SHA(0x33) 128位 [安全]