Я использую Apache 2.2.31 и пытаюсь заставить работать Perfect Forward Secrecy. Использование Qualys SSL Labs показывает, что почти все, кроме IE, используют шифры, которые могут использовать прямую секретность.
Я подтвердил это SSLHonorCipherOrder установлен на on в конфигурации Apache, но мне интересно, есть ли способ проверить извне, что порядок шифрования принудительный.
SSLLabs перечисляет поддерживаемые шифры в порядке предпочтения и соответствует тому, что я указал в файле конфигурации.
Для достойного анализа конфигурации HTTPS вы можете использовать https://testssl.sh/ также. Он предоставляет действительно качественную информацию об общем состоянии HTTPS.
testssl https://yoursite.com
Чтобы проверить запрошенную конфигурацию - найдите следующую проверку в выводе:
Testing server preferences
Has server cipher order? nope (NOT ok)
или
Testing server preferences
Has server cipher order? yes (OK)
В этом вам поможет сценарий Nmap EnumCipher.
nmap --script ssl-enum-ciphers -p
Я также включил SSLHonorCipherOrder, но он показывает «предпочтение шифра: клиент»
Я искал ответ, пока наткнулся на этот старый вопрос