终于忍不住要来吐槽阿里云网站的 SSL 配置

Recommended Services

› Amazon Web Services

› LeanCloud

› New Relic

› ClearDB

This topic created in 3812 days ago, the information mentioned may be changed or developed.

一直都很想吐槽阿里云轻技术重营销的现状，都因为太懒作罢了。今天无论如何都要吐槽下他们某个子域的 SSL 配置。

V2EX 很多同学自己个人网站的 SSL 配置在 ssllabs.com 都能拿到 A+，那么好吧我们来看看阿里云这家大公司的配置， Cipher Suites 居然只支持 RC4 。

https://www.ssllabs.com/ssltest/analyze.html?d=msc.console.aliyun.com

如果要支持 XP 下的 IE6 ~ IE8 ，加上 3DES 就可以了， RC4 是无论如何都不应该用的，况且他们是只支持 RC4 。 Chrome 新版已经不信任 RC4 了，从第一张图可以看到 Chrome 直接拒绝建立 SSL 连接。

好了，吐槽完毕~

SSL

RC4

吐槽

阿里云

23 replies • 2016-01-21 12:42:16 +08:00

qgy18

Jan 15, 2016

补充下，如果要支持 XP 下的 IE6 ~ IE8 ，加上 3DES 就可以了，是因为 IE6 支持下面这种相对安全一些的 suite （密钥交换用 RSA ，认证用 RSA ，对称加密用 3DES ， MAC 算法用 SHA1 ）：

TLS_RSA_WITH_3DES_EDE_CBC_SHA
0x00,0x0A - DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1

kn007

Jan 15, 2016

因为 ququ 的文章， A+的路过

qgy18

Jan 15, 2016

@kn007 其实大公司一般很难 A+，因为要照顾到 XP 上的 IE ，得允许 SSL v3 。

我想吐槽的是他们的配置居然能不安全到被 Chrome 直接阻止，还不以为然。

wy315700

Jan 15, 2016

win 2000 的 IE5.5 呢，，

qgy18

Jan 15, 2016

@wy315700 ssllab 都懒得收录 IE5.5 。。。 https://www.ssllabs.com/ssltest/clients.html

其实为了兼容老旧终端而不得不降低的安全配置我是不会吐槽的，毕竟这是国情。

但是只提供一个老掉牙的不安全配置让现代操作系统 / 浏览器也必须用，这只能说明不用心 + 不重视技术！

kn007

Jan 15, 2016

@qgy18 嗯嗯，确实是。现在 XP 基本也是内部机在用了，东莞这边，公安局的内网，还有比如财务，财政局某些部门这块用着 XP ，大部分都是 Win7 了，因为从去年采购的电脑，都是安装 Win7