Encryption 高级警告和浏览器密码测试

我们有许多面向互联网的网络应用。当Chrome和Firefox不久前因为Poodle而放弃SSLv3支持时，当Firefox开始阻止任何启用Diffie-Hellman密码的站点时，以及（最近）当Chrome和Firefox放弃RC4密码时，我们意外地遇到了生产问题。在每种情况下，我们只有在最终用户开始打电话时才发现问题

对于这个问题，我们只关心到web服务器的连接。测试站点布局和javascript不在范围之内

我已经用PHP和nmap/OpenSSL编写了一些探测，即扫描SSLv3和SHA1证书。但我忍不住想知道是否有一种更干净、更简单的方法来做到这一点……尤其是在我们开始收到支持电话之前，保持对它的控制

有几个问题：

是否有任何邮件列表可能会在浏览器更改之前通知我们，这些更改可能会“中断”与我们应用程序的连接

由于资源限制，希望这样的邮件列表不会被“噪音”弄得乱七八糟

是否有一种工具可以让我们利用，它可以告诉我们，如果我们的应用程序不再在特定浏览器中工作，而不需要我们告诉它要测试的条件

例如，如果Firefox明天禁用SHA1证书支持，我们不需要告诉这个工具。相反，它应该只使用最新版本的默认浏览器设置进行测试

即使我们必须告诉工具发生了什么变化，我们可能也能做到这一点。。。但希望我们不需要花费数小时来添加每个测试用例

最好，这样的工具可以在本地运行，这样我们就可以测试非生产环境和内部web appa。“奖励积分”，如果它可以完全自动化，并在发现问题时发送电子邮件

---

谢谢

可能违反了这里的SO规则，但我个人觉得非常好，它已经成为测试https配置的行业标准

插入你的网站URL，点击go，几分钟后你会得到一份报告和一个分数，还可以测试大量常用浏览器。如果你有任何警告或低于A级，那么你迟早会遇到麻烦。有了A等级，你可以每季度测试一次，因为不太可能出现新的、严重的问题，以至于浏览器制造商很快就会禁止使用

还有其他工具，该工具只适用于面向公众的网站（是一个命令行工具，它对内部网站也有类似的作用，但没有分级）。但是SSL实验室是免费的，易于使用，是最新的，并且允许您只关注它标记的问题。保持所有安全问题和漏洞的最新信息可能非常耗时，否则，尤其是对于一家小公司

它还有一个api，我想它可以用于自动测试，但由于没有必要，所以不能使用它

Feisty Duck security新闻稿是一份月度新闻稿，让您了解此空间的变化：。它减少了大部分噪音，非常值得订阅。Feisty Duck是由SSLLAB的创建者创建的，新闻稿由HTTPS uber极客（无意冒犯！）运行，他知道所有即将到来的变化。文森特·林奇（Vincent Lynch）以一种易于理解的方式在以下网站上发表了关于变化的博客：

其他有用的链接值得偶尔检查，以了解可能影响您网站的问题：

---

有很多其他的安全邮件列表和论坛，但它们确实会占用你很多时间。就我个人而言，我觉得这很有趣，但我意识到大多数人可能都不一样！：-）

涉及推荐软件工具或其他资源的问题在堆栈溢出上是离题的。这是因为在提出这类问题时，没有一个普遍接受的答案，这最终会引起垃圾邮件和纠纷。请阅读以下页面，了解您可以提出哪些问题：。这就是说，如果您有关于密码套件检查的特定编程问题，请务必询问。否则，这个问题将不可避免地被解决。如果你能清楚地描述这个工具应该做什么，那就试试吧。我真的很抱歉在接下来的讨论中耽搁了这么长时间；我没有收到通知。那些博客看起来绝对有用！你是对的；邮件列表可能会占用我所有的时间。我们最近偶然发现了Chrome的最新变化：拒绝没有SAN扩展的证书。幸运的是，我们找到了一个注册表解决方案，所以我们的内部应用程序将在更新CA的同时继续运行。。。在它发生之前知道它会很好，即使它是基于多年前标准的变化我理解你的痛苦。我喜欢这些东西，经常给公司发电子邮件，讨论类似的问题，但我意识到不是每个人都有像我这样的极客。我只能重申，SSLLabs的工具是实现这一点的最佳资源，让您的设置达到规范（A级）每季度检查一次可以防止大多数问题。这对内部站点来说更为困难，但将内部站点保持在与外部站点相同的标准将有所帮助。还有一些进一步的事情可以让您意识到潜在的下一个问题：1）http越来越被标记为不安全。目前，关于登录详细信息，但很快就会涉及到任何输入（）和2）TLSv1.0即将推出，3）完善的前向保密密码是前进的方向，因此您应该在其他密码贬值之前使用这些密码（基本上使用ECDHE密码）。在我的回答中添加了两个很好的资源来解释：1）TLS新闻稿和2）SSL商店博客。