本篇文章更新時間:2019/02/16
如有資訊過時或語誤之處,歡迎使用 Contact 功能通知。
一介資男的 LINE 社群開站囉!歡迎入群聊聊~
如果本站內容對你有幫助,歡迎使用 BFX Pay 加密貨幣 或 新台幣 贊助支持。
自從改過 Server的設定後就發現,HTTPS的連線從128bit升到256bit 後又再調整又降回 128bit 。
這讓我有點納悶,是憑證問題還是協定問題還是主機問題?
好久以前剛接觸到的時候是看到 GoDaddy的廣告,宣稱購買他的憑證即享有256bit的加密連線安全性,那時候沒查證直覺是"憑證有分加密連線的等級"
直到自己安裝上去測試後發現到這樣的現象後才恍然大悟,其實那只是宣傳手法,讓人誤以為等級比128bit高一倍的說法。
剛好有看到CloudFlare的一篇文章介紹這樣的差異
Which cipher suite is negotiated will depend on the client/browser configuration and the server configuration. It is
notrelated to the certificate installed on the server or in place at CloudFlare. When the client/browser initiates the connection with a Client Hello message, it sends a list of cipher suites it supports. The server then picks the one it wants and says so in its Server Hello message.
簡單來說,就是完全不干憑證的事!!
這中間取決Server(伺服器) 與 Client(瀏覽器)選擇加密"組合"(cipher suite)的設定,是兩方根據支援的加密協定去配對的結果。
簡言之
瀏覽器送 TLS_RSA_WITH_AES_128_CBC_SHA 這樣的設定給伺服器,伺服器支援就會用這樣的128bit連線起來,若是 TLS_DHE_RSA_WITH_AES_256_CBC_SHA 就是256bit拉~
雖不能說 GoDaddy 這樣廣告有錯,但能說的就是他主機設定就是把128bit 的設定都拿掉了才會都確保是256bit連線吧(!?)
能知道的是: cipher suite 這個設定將會影響瀏覽器的支援度,若是太過狹隘設定將會導致某些機器出現錯誤警訊。
另外有個有趣的事是CloudFlare有將他伺服器這部分設定開源出來,可以到這裡看看,來源是 What cipher suites does CloudFlare use for SSL?