瀏覽器中HTTPS 128Bit 與 256Bit 的加密連線差異為何?



自從改過 Server的設定後就發現,HTTPS的連線從128bit升到256bit 後又再調整又降回 128bit 。

這讓我有點納悶,是憑證問題還是協定問題還是主機問題?

好久以前剛接觸到的時候是看到 GoDaddy的廣告,宣稱購買他的憑證即享有256bit的加密連線安全性,那時候沒查證直覺是"憑證有分加密連線的等級"

直到自己安裝上去測試後發現到這樣的現象後才恍然大悟,其實那只是宣傳手法,讓人誤以為等級比128bit高一倍的說法。

剛好有看到CloudFlare的一篇文章介紹這樣的差異

Which cipher suite is negotiated will depend on the client/browser configuration and the server configuration. It is not related to the certificate installed on the server or in place at CloudFlare. When the client/browser initiates the connection with a Client Hello message, it sends a list of cipher suites it supports. The server then picks the one it wants and says so in its Server Hello message.

簡單來說,就是完全不干憑證的事!!

這中間取決Server(伺服器) 與 Client(瀏覽器)選擇加密"組合"(cipher suite)的設定,是兩方根據支援的加密協定去配對的結果。

簡言之

瀏覽器送 TLS_RSA_WITH_AES_128_CBC_SHA 這樣的設定給伺服器,伺服器支援就會用這樣的128bit連線起來,若是 TLS_DHE_RSA_WITH_AES_256_CBC_SHA 就是256bit拉~

雖不能說 GoDaddy 這樣廣告有錯,但能說的就是他主機設定就是把128bit 的設定都拿掉了才會都確保是256bit連線吧(!?)

能知道的是: cipher suite 這個設定將會影響瀏覽器的支援度,若是太過狹隘設定將會導致某些機器出現錯誤警訊。

另外有個有趣的事是CloudFlare有將他伺服器這部分設定開源出來,可以到這裡看看,來源是 What cipher suites does CloudFlare use for SSL?

Facebook 功能:

Share: