终于忍不住要来吐槽阿里云网站的 SSL 配置

2016-01-15 18:08:57 +08:00
 qgy18
一直都很想吐槽阿里云轻技术重营销的现状,都因为太懒作罢了。今天无论如何都要吐槽下他们某个子域的 SSL 配置。







V2EX 很多同学自己个人网站的 SSL 配置在 ssllabs.com 都能拿到 A+,那么好吧我们来看看阿里云这家大公司的配置, Cipher Suites 居然只支持 RC4 。

https://www.ssllabs.com/ssltest/analyze.html?d=msc.console.aliyun.com

如果要支持 XP 下的 IE6 ~ IE8 ,加上 3DES 就可以了, RC4 是无论如何都不应该用的,况且他们是只支持 RC4 。 Chrome 新版已经不信任 RC4 了,从第一张图可以看到 Chrome 直接拒绝建立 SSL 连接。

好了,吐槽完毕~
5255 次点击
所在节点    云计算
23 条回复
qgy18
2016-01-15 18:23:30 +08:00
补充下,如果要支持 XP 下的 IE6 ~ IE8 ,加上 3DES 就可以了,是因为 IE6 支持下面这种相对安全一些的 suite (密钥交换用 RSA ,认证用 RSA ,对称加密用 3DES , MAC 算法用 SHA1 ):

TLS_RSA_WITH_3DES_EDE_CBC_SHA
0x00,0x0A - DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
kn007
2016-01-15 18:26:19 +08:00
因为 ququ 的文章, A+的路过
qgy18
2016-01-15 18:30:30 +08:00
@kn007 其实大公司一般很难 A+,因为要照顾到 XP 上的 IE ,得允许 SSL v3 。

我想吐槽的是他们的配置居然能不安全到被 Chrome 直接阻止,还不以为然。
wy315700
2016-01-15 18:31:35 +08:00
win 2000 的 IE5.5 呢,,
qgy18
2016-01-15 18:40:40 +08:00
@wy315700 ssllab 都懒得收录 IE5.5 。。。 https://www.ssllabs.com/ssltest/clients.html

其实为了兼容老旧终端而不得不降低的安全配置我是不会吐槽的,毕竟这是国情。

但是只提供一个老掉牙的不安全配置让现代操作系统 / 浏览器也必须用,这只能说明不用心 + 不重视技术!
kn007
2016-01-15 18:46:42 +08:00
@qgy18 嗯嗯,确实是。现在 XP 基本也是内部机在用了,东莞这边,公安局的内网,还有比如财务,财政局某些部门这块用着 XP ,大部分都是 Win7 了,因为从去年采购的电脑,都是安装 Win7
lyragosa
2016-01-15 18:51:21 +08:00
你们器材界真是让人难以理解……
qgy18
2016-01-15 18:54:09 +08:00
@lyragosa 器材界是什么梗?
ivmm
2016-01-15 20:51:02 +08:00
为毛我 版本 47.0.2526.111 (64-bit) 没拦截~
qgy18
2016-01-15 21:01:43 +08:00
@ivmm 需要 48 , Chrome beta 版。我的是: 48.0.2564.79 。 Windows 和 OSX 都拦。
Outshine
2016-01-15 21:06:45 +08:00
因为是 ququ 大大的帖子,所以进来了
一直在看 qu 大的博客,那速度都是 0.1 秒以内(安全性更不必说了)
xiaodaigou
2016-01-15 21:08:26 +08:00
@Outshine 求 qu 大博客地址
qgy18
2016-01-15 21:10:06 +08:00
@Outshine 多谢哈~
实际上我的博客之所以快主要还是因为国内访问解析到了阿里云。阿里云大面上还好,小问题不断。也没啥更好的选择了,只能寄希望于这些问题能慢慢被解决吧。
qgy18
2016-01-15 21:16:23 +08:00
@xiaodaigou 点一下头像,在 v2 的个人页就能看到吧。
https://imququ.com
xiaodaigou
2016-01-15 21:26:15 +08:00
好的 Q 大
@qgy18
Wenwei
2016-01-15 21:27:19 +08:00
看了 qu 大的博客,把自己的博客也搞到了 A+,哈哈。 qu 大的博客简直太快
yruite
2016-01-15 22:06:49 +08:00
膜拜大神
burn
2016-01-16 11:34:53 +08:00
它的负载均衡对 ssl 支持更烂
Outshine
2016-01-16 12:20:42 +08:00
@qgy18 其实还是优化得好,我也是阿里云,但是是用框架自己写的一个博客,速度都无力吐槽了(其实是 laravel 本来就慢)
随便 @aliyun123
hiroya
2016-01-16 22:54:21 +08:00
新技能 get√ 学习了,目前计划把 IE8 以下全部 forbidden 掉 (*≧▽≦)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/251037

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX