SSL을 사용하는 Heroku 사이트는 SSL Labs 테스트에서 "B"를 얻습니다.

Question

테스트는 여기에 있습니다 : https://www.ssllabs.com/ssltest 여기에서 Heroku의 성적을 볼 수 있습니다 : https://www.ssllabs.com/ssltest/analyze.html?d=heroku.com. 다른 서버에 "B"와 "A"가 혼합되어 있습니다.

내 사이트는 www.wealthypockets.com입니다. 제 테스트 결과는 여기 https://www.ssllabs.com/ssltest/analyze.html?d=www.wealthypockets.com - 고체 "B"입니다.

이

1) 나는이 상에 "A"를 못하고 걱정해야합니다

이

은 두 부분으로 질문? 특히 "BEAST"공격과 DOS 가능성에 대해?

2) 개선 된 점수를 얻기 위해 할 수있는 일이 있습니까? 또는 Heroku가 사물을 개선하기를 기다리는 것에 대해?

Answer 1

별도로 두 부분 응답 :

1) 당신이에는 A을받지에 대한 관심을 가져야 경우 요구 사항은 공개하지 않는 것 때문에 말을하는 것은 매우 어려운 일이다.

BEAST 공격은 SSLv3 및 TLSv1.0의 취약점을 사용하는 흥미롭고 다소 복잡하지만 효과적인 공격입니다. 침입자는 사용자의 브라우저에 스크립트를 설치하고 SSL 연결을 통해 알려진 데이터를 보낼 수 있어야합니다. 공격자는 연결을 스니핑 할 수 있어야하므로 결과적으로 다음 데이터의 일부를 해독 할 수 있습니다. 이것은 TLSv1.1 및 이후 버전에서 수정되었으며, 많은 브라우저는 모든 요청을 동일한 채널을 통해 특정 서버로 보내지 않음으로써 BEAST 공격에 대한 보호 기능을 추가했습니다.

2) 나는 heroku.com과 귀하의 웹 사이트 등급을 모두 확인했는데 그들은 A가 가득한 것 같습니다. 인증서 설치를 제외하고 Heroku SSL 매개 변수를 조정하는 방법에 대한 정보를 찾지 못했습니다. 이것이 당신이 통제 할 수있는 것이 아니라고 생각하십시오. 나는 그렇게 걱정하지 않을 것이다. 많은 SSL 공격은 이론적이며, BEAST는 훨씬 최악이다. (아마도 재협상 공격과 함께하지만, 대부분 패치 된 서버 쪽이다.) 귀하의 웹 사이트는 공격자가 내용을 편집 할 수있는 방법이 없으므로 매우 단순한 것으로 보이므로 BEAST 공격은 불가능합니다. Heroku가 TLSv1.0 대신 TLSv1.1을 선호한다면 좋을 것입니다.