在Qualys实验室上为A+加强Azure云服务上的SSL/TLS？

Question

我们使用这个powershell脚本作为我们的Azure (PaaS)启动脚本，我们在Qualys实验室测试上使用一个A- on

具体来说，我们失去分数的原因如下：

Forward Secrecy : With some browsers (more info)
Downgrade attack prevention : No, TLS_FALLBACK_SCSV not supported (more info)

我们希望将其设置为A+ (并改进该测试中未涉及的其他方面)。我们怎样才能做到呢？

Answer 1

首先，有关TLS版本和密码套件选择的分析，请参见我现在的答案是2015年，在高安全的HTTPS环境中应该使用什么SSL/TLS密码套件？。

• 总结如下: TLS_DHE_*和TLS_ECDHE_*支持PFS，但避免DSS、RC4等。
• 有些浏览器没有FS的原因是TLS_RSA_*密码套件；将它们从启动脚本中删除。

然后，关于“如何在Azure上完成此操作”的附加技术，请阅读如何在窗口(OS或网站)中配置完美的前向保密)。

• 总结是:运行一个类似于此Azure启动任务中的NuGet封装的Codeplex项目，并确保完全禁用SSLv3。
  • 听起来你的启动脚本已经做了很多，这是很棒的！

就TLS_FALLBACK_SCSV而言，你最好的选择是让你所有的朋友给微软提供关于TLS_退却_SCSV连接条目的反馈。