来自 应用 2021-04-08 16:17 的文章

高防免备案cdn_防止_ip防御ddos

高防免备案cdn_防止_ip防御ddos

昨天我们发布了ssllabs1.17.10,它的主要目标是引入一个月前讨论过的分级调整。我们交付了计划中的变更以及一些额外的调整。我们发布消息的同时,宣布了一项针对TLS的新攻击,称为Logjam,ddos攻击与防御产品,我们有一些时间来处理这个问题,也是。RC4As上个月已经讨论过了,从这个版本开始,我们增加了在现代TLS版本(即tls1.1及更好版本)中使用RC4的惩罚。这样做的站点现在以C为上限。仅对旧客户端使用RC4的站点将以B为上限。不使用RC4的站点将获得A,ddos攻击防御鱼目混,假设没有其他站点问题。不TLS 1.2支持为了充分利用现代客户端的最佳安全特性,服务器支持现代协议是很重要的。为了强调这一点,不支持TLS1.2的站点现在被限制为C(以前是B)。这个最新的TLS版本是唯一支持authenticated suites(AEAD)的版本,AEAD是TLS中唯一正确安全的类型加密。它于2008年问世,在2013年被浏览器实现之前还有很长的差距。在RFC成立七年后的今天,不应该有任何借口不支持它。堵车,ddos防御产品,对弱Diffie-Hellman(DH)参数的新攻击再次提醒我们,支持过时的加密技术从来不是一个好主意。尽管TLS提供了一种协商机制,理论上讲它应该能够使现代客户机仅使用强安全性进行通信,但在实践中,还是存在滥用客户机或协议并执行降级的方法攻击。迪菲-Hellman密钥交换强度是TLS协议配置中一个相对模糊的方面。直到最近,大多数web服务器还没有调整这个设置的能力,有些服务器甚至到了今天也没有。这不是问题,除非大多数服务器默认为不安全的值。SSL实验室几年前开始突出显示DH参数较弱的服务器,以提高人们对此的认识问题。僵局只影响配置不正确的SSL/TLS服务器。那些遵循了最佳实践(例如,SSL实验室的SSL/TLS部署最佳实践)的人没有使用任何易受攻击的加密技术,因此无需进行任何更改来缓解日志堵塞。此外,出于性能原因,经过优化的站点更喜欢基于椭圆曲线加密的密钥交换,从而完全避免了DH的问题。在SSL实验室中,易受LogJam攻击的服务器被划分为F;没有对此进行专门的更改攻击。那说,我们扩展了SSL/TLS客户机测试,以检测用户代理何时接受只有512位的Diffie-Hellman密钥交换安全。弱DH参数7尽管对于大多数站点来说,cc防御盾,如果它们使用1024位的DH参数(状态攻击不是大多数站点威胁模型的一部分),那么这些参数是脆弱的,并且应该被劝阻。长期以来,ddos防御费用,我们一直在警告DH参数较弱;现在,随着Logjam的宣布,我们觉得现在是向前迈进一步的好时机。截至昨天,继续使用弱DH参数的站点被限制在B.Related