V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
futursolo
V2EX  ›  SSL

国内外银行 SSL 强度测试

  •  1
     
  •   futursolo · 2015-01-24 12:08:26 +08:00 · 10143 次点击
    这是一个创建于 3586 天前的主题,其中的信息可能已经有所发展或是发生改变。

    按加密强度排序:

    花旗中国 https://www.ssllabs.com/ssltest/analyze.html?d=www.citibank.com.cn 国内唯一一个进首页就开始全SSL Stream的,等级B
    招行 https://www.ssllabs.com/ssltest/analyze.html?d=pbsz.ebank.cmbchina.com 等级B
    农行 https://www.ssllabs.com/ssltest/analyze.html?d=easyabc.95599.cn 等级B
    渣打中国 https://www.ssllabs.com/ssltest/analyze.html?d=cn.online.standardchartered.com 等级B
    中行 https://www.ssllabs.com/ssltest/analyze.html?d=ebsnew.boc.cn 等级C
    邮政 https://www.ssllabs.com/ssltest/analyze.html?d=pbank.psbc.com 等级C
    工行 https://www.ssllabs.com/ssltest/analyze.html?d=mybank.icbc.com.cn 等级F
    建行 https://www.ssllabs.com/ssltest/analyze.html?d=ibsbjstar.ccb.com.cn 等级F
    交行 https://www.ssllabs.com/ssltest/analyze.html?d=pbank.95559.com.cn 等级F
    中信 https://www.ssllabs.com/ssltest/analyze.html?d=e.bank.ecitic.com 直接报混合内容。。。等级B
    浦发 https://www.ssllabs.com/ssltest/analyze.html?d=ebank.spdb.com.cn 这个也是混合内容。。。等级B

    总结:国内银行搞得越大,安全等级越低(四大国有里面有三个F...),越小等级越高,外资银行搞得最好

    港台
    東亞銀行https://www.ssllabs.com/ssltest/analyze.html?d=mobile.hkbea-cyberbanking.com 等級B
    恒生銀行https://www.ssllabs.com/ssltest/analyze.html?d=e-banking.hangseng.com 等級B
    臺灣銀行https://www.ssllabs.com/ssltest/analyze.html?d=ebank.bot.com.tw 等級F

    嘛,除了台银还都挺好的嘛。

    来点老外的银行
    Bank of America (United States) https://www.ssllabs.com/ssltest/analyze.html?d=bankofamerica.com Full SSL Streamed with HSTS, Rank B
    Deutsche Bank (Deutschland) https://www.ssllabs.com/ssltest/analyze.html?d=deutsche-bank.de 全站SSL 等级B(对不起,不会德语。。。)
    富士銀行(日本) https://www.ssllabs.com/ssltest/analyze.html?d=fujibank.co.jp Google Chromeは「DNS ルックアップでエラーが発生したため、fujibank.co.jp にあるサーバーを見つけることができません。」って言いました。(喂,什么情况。。)

    除了富士银行打不开之外,其它两家都挺好
    PS:为什么选这三家?
    1. 知道BOA
    2. 有朋友在德意志与11区留学ing(以前听他们说起过这两家)

    第三方支付平台:
    PayPal https://www.ssllabs.com/ssltest/analyze.html?d=paypal.com Full SSL, Level B
    支付宝https://www.ssllabs.com/ssltest/analyze.html?d=alipay.com 全站 SSL,等级B
    财付通https://www.ssllabs.com/ssltest/analyze.html?d=tenpay.com 全站 SSL,等级C

    另外附上度娘和谷歌的好了:
    搜索引擎
    Google https://www.ssllabs.com/ssltest/analyze.html?d=google.com 全站SSL加HSTS,等级B
    百度https://www.ssllabs.com/ssltest/analyze.html?d=baidu.com 等级B

    前天晚上搞了1个半小时,总算搞定了(为什么比写代码还累?),昨晚忘记发出来了,今天发出来。

    54 条回复    2015-08-31 12:43:26 +08:00
    0x1e240
        1
    0x1e240  
       2015-01-24 12:26:34 +08:00 via Android
    B,C那些是为了兼容老的浏览器
    F这种,管理员懒、不愿改动系列

    A+能弄出来,但是IE6的用户万年坑队友啊
    https://www.ssllabs.com/ssltest/analyze.html?d=idongu.com
    xoxo
        2
    xoxo  
       2015-01-24 12:32:41 +08:00
    ssllabs分析规则不仅包含安全测试,还有性能测试.
    所以,各位看看就好了,别当真
    JackNo1
        3
    JackNo1  
       2015-01-24 12:42:48 +08:00
    Bank of America (BoA)叫美国银行,Deutsche Bank叫德意志银行。
    typcn
        4
    typcn  
       2015-01-24 12:42:54 +08:00
    我的 ssl 站是 A ,因为证书是 SHA1 的所以不是 A+
    JackNo1
        5
    JackNo1  
       2015-01-24 12:45:30 +08:00
    说实话我挺讨厌国内银行网银的那些控件之类的东西,像国外银行那样输入银行卡信息就很方便嘛。
    印象中招商银行的手机网银(手机网页)可以在电脑浏览器上操作而不需要安装控件,支付宝的话就没办法了。
    futursolo
        6
    futursolo  
    OP
       2015-01-24 12:52:27 +08:00
    @JackNo1 同感,招行的网上付款可以扫二维码来付,没开网银也可以,可以说是国内最方便的。

    确实憎恶安全控件那东西,没有快捷支付真就要疯了。Win8.1用建行网银简直就是噩梦。

    国外的东西不用网银也仅限付款的时候,真正网上转账也要用网银(但是的确没有神马安全控件之类的东西)。
    xoxo
        7
    xoxo  
       2015-01-24 13:01:59 +08:00
    @typcn
    不何不换sha256呢, come on, 骚年
    yksoft1
        8
    yksoft1  
       2015-01-24 13:09:51 +08:00
    Quaintjade
        9
    Quaintjade  
       2015-01-24 13:26:35 +08:00 via Android
    我配置过全100分的,但没几个浏览器兼容。

    国内大银行态度上不太鸟SSL/TLS这套体系,都搞自己的一套安全审计。TLS这套证书体系说白了也就是个卡特尔,只不过已是既定标准。
    wzxjohn
        10
    wzxjohn  
       2015-01-24 13:27:15 +08:00 via iPhone
    @typcn 相信我全站 A 除了让部分用户完全无法访问你的网站以外没有任何作用。我的博客之前是 A+ ,直到我发现不光是 XP ,连最新的 WP 都打不开我的网站的时候,我就果断降回了 B 。你可以找一个 WP 手机尝试一下,估计你的站也是完全打不开的。
    mengzhuo
        11
    mengzhuo  
       2015-01-24 13:28:19 +08:00
    ˊ_>ˋ
    我的站点都是A+
    这样测试可以学到真的很多知识

    https://www.ssllabs.com/ssltest/analyze.html?d=mengzhuo.org
    typcn
        12
    typcn  
       2015-01-24 13:29:41 +08:00
    @wzxjohn 我的标准:最新版的系统 + 最新版的 Chrome 能打开。
    oott123
        13
    oott123  
       2015-01-24 13:35:14 +08:00
    @futursolo 建行不是有账号付款么……我每次都用的那个,Firefox + Windows8.1 无压力啊。
    wzxjohn
        14
    wzxjohn  
       2015-01-24 13:41:17 +08:00 via iPhone
    @typcn 简而言之,自己爽。。。
    futursolo
        15
    futursolo  
    OP
       2015-01-24 13:48:34 +08:00
    @oott123 当年Win8.1刚出的时候还没有支持,被迫在虚拟机里付款是就彻底恶心掉了。现在只用快捷支付或招行。
    MinonHeart
        16
    MinonHeart  
       2015-01-24 13:52:19 +08:00 via Android
    @wzxjohn WP打不开?只是波及XP才对,最多还有不支持sni的那些浏览器
    futursolo
        17
    futursolo  
    OP
       2015-01-24 13:53:17 +08:00
    wzxjohn
        18
    wzxjohn  
       2015-01-24 13:54:36 +08:00
    @MinonHeart 不不不你想要得到 A+ 需要去掉很多老的加密方法,可惜的是那些方法都是 WP 支持的。所谓的更安全的加密算法 WP 都暂时不支持。因为我的博客是单域名单证书,所以不存在 SNI 的问题。
    MinonHeart
        19
    MinonHeart  
       2015-01-24 14:00:19 +08:00 via Android
    @wzxjohn WP支持不支持我不清楚,毕竟没有机器测试。不过测试的那个网站下面有兼容报告,显示WP并不存在兼容问题
    wzxjohn
        20
    wzxjohn  
       2015-01-24 14:01:50 +08:00
    @MinonHeart 得 B 的网站当然没有兼容问题,我当时得 A+ 的时候就是看到兼容问题那栏 WP 打的问号才特地去用朋友的 WP 试了的。。。。。。。。。
    yksoft1
        21
    yksoft1  
       2015-01-24 14:06:39 +08:00
    @futursolo 为啥没有银行用http传输自定义的加密协议,用js实现一套RSA之类的。
    MinonHeart
        22
    MinonHeart  
       2015-01-24 14:06:48 +08:00 via Android
    @wzxjohn 得A+也没问题(A跟A+是差HSTS,这个并不影响兼容性),那个chiper的数量也是兼容各种浏览器的关键点。你看看OpenShift的服务器配置

    https://www.ssllabs.com/ssltest/analyze.html?d=fm.hub.moe
    MinonHeart
        23
    MinonHeart  
       2015-01-24 14:09:30 +08:00 via Android
    @wzxjohn 可以拿
    https://www.ssllabs.com/ssltest/analyze.html?d=hub.moe
    这个做对比,这个是在VPS上,chiper跟OpenShift的有差别
    wzxjohn
        25
    wzxjohn  
       2015-01-24 14:24:01 +08:00
    @MinonHeart 最近这些网站的算法都改了很多,可能我认知的拿 A+ 的方法已经变了。抱歉。
    MinonHeart
        26
    MinonHeart  
       2015-01-24 14:31:06 +08:00 via Android
    @wzxjohn 能有WP测试一下就好了,我也只是根据下面给出的兼容性看了一下,没有具体测试。这点小事不必抱歉
    juneszh
        27
    juneszh  
       2015-01-24 14:48:09 +08:00
    广发呢
    fengxing
        28
    fengxing  
       2015-01-24 15:14:47 +08:00
    沒辦法,誰讓中國現在XP還是有很多呢。你無法強制用XP系統的人升級,所以你只能照顧用XP的人
    geeklian
        29
    geeklian  
       2015-01-24 15:17:12 +08:00
    @juneszh F..周末加班已经去搞了,尽快随大波变成B、C吧
    Havee
        30
    Havee  
       2015-01-24 15:23:28 +08:00
    部署 ssl ( SHA256withRSA) 到服务器A,A反代B
    结果分数是 B,xp 与 Android 2.3.7 都是 fail
    futursolo
        31
    futursolo  
    OP
       2015-01-24 16:06:35 +08:00
    @yksoft1 解释这个问题其实很简单,主要有以下原因:

    1、安全性,采用OpenSSL都出那么多问题,按中国程序员那水平(除了写GFW那帮人外),谁敢保证不出问题。而且,对付HTTPS的手段是MITM,所以发明了["PKI" https://zh.wikipedia.org/zh-cn/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E5%9F%BA%E7%A4%8E%E5%BB%BA%E8%A8%AD]来检验证书防止那东西,自己做JS是不可能达到那样的高度的。

    2、性能,两个方面:
    (1)网速:OpenSSL的大小好像在5MB左右,欧美就算了,你让咱国内小水管每次加载个5M的文件,再加上国内一堆NC和低素质喷子,不被骂死,也被口水淹死。
    (2)计算速度:JS对于运算不能启用硬件加速,因为你没办法告诉CPu将你接下来的运算是AES或者其它的什么,这样CPU就没法启用硬件加速,然后你就笑了。(clowwindy的ShadowSocks ChromeBook版就是JS做的,只提供table,按他本人的话说:“chrome app 现在没有加密 API,只能用 JavaScript 加密,如果用 AES 加密,就看着它发热吧……”,对,你就看着它化成铬水吧。)

    3、不能装13:因为没有绿色小锁,不能显示你是天朝XX银行(有的银行觉得不买VeriSign的Extended Validation都不够装,父亲大人曾工作在银行,他透露的),容易被某些XX给喷。
    yksoft1
        32
    yksoft1  
       2015-01-24 16:15:47 +08:00
    @futursolo 完整的OpenSSL包括非常多的加密方式,实际运用的时候不需要那么多。
    lingo233
        33
    lingo233  
       2015-01-24 16:19:47 +08:00
    Google Chromeは「DNS ルックアップでエラーが発生したため、fujibank.co.jp にあるサーバーを見つけることができません。」って言いました。(喂,什么情况。。)

    chrome报告检测dns发生故障,无法访问服务器
    invite
        34
    invite  
       2015-01-24 16:33:54 +08:00
    不明觉厉
    futursolo
        35
    futursolo  
    OP
       2015-01-24 16:39:26 +08:00
    @yksoft1
    不要看OpenSSL包含那么多加密,你要分解一下
    1、加密:AES、RC4、3DES...(一共不会超过6种,不想去数了)
    2、密钥交换:RSA、ECDSA等等
    3、身份认证:SHA1、SHA256等等

    当然,如果你真的想试一下的话,JS版的Crypto Library在这里。
    https://code.google.com/p/crypto-js
    如果你做出来了的的话,可以试着去Lobby下CCB和ICBC的老总们去把OpenSSL给Replace掉,想那些码农也不敢反抗老总吧。

    @lingo233
    我知道的啦,引语外的字就是我写的啦。
    正规翻译:
    Google Chrome说「由于DNS 查询发生故障、找不到fujibank.co.jp 的服务器(当然,你也可以翻译成,寻找fujibank.co.jp的服务器这件事Google Chrome做不到)。」
    imlonghao
        36
    imlonghao  
       2015-01-24 17:34:25 +08:00 via Android
    bitinn
        37
    bitinn  
       2015-01-24 17:34:45 +08:00
    A+并不难,难得是放弃IE6 on XP。我们的站点:

    https://www.ssllabs.com/ssltest/analyze.html?d=addleaf.com
    lingo233
        38
    lingo233  
       2015-01-24 19:38:41 +08:00 via iPhone
    @futursolo 好想吐槽lookup server,我在已经不会说出正确的读音了TT恥ずかしい
    liujiantao
        39
    liujiantao  
       2015-01-24 21:22:41 +08:00
    免费CA证书都能C的路过
    futursolo
        40
    futursolo  
    OP
       2015-01-24 21:30:20 +08:00
    @lingo233 同感です。在家里看科技类文章的时候念出来总觉得特别羞耻。
    NeoAtlantis
        41
    NeoAtlantis  
       2015-01-24 21:33:41 +08:00   ❤️ 1
    楼上说用js搞加密的,考虑过js从哪来吗……http本来就是不安全的……加密库传过来就没有后门吗……

    js加密只有在https下传过来,或者集成在浏览器内才有意义。这种情况下js不是拿来实现ssl实现过的功能的,而是做比如端到端的加密(类似PGP)。
    lingo233
        42
    lingo233  
       2015-01-24 22:04:13 +08:00
    @futursolo 禿同しゃないだろうw。ところでこういたいいじゃないか、いつでもクソ若者に殴られる感じる。怖いwwww
    xierch
        43
    xierch  
       2015-01-25 02:12:57 +08:00
    其实并不是为了 A+ 才放弃的 XP/IE,不支持 SNI 这点就已经放弃了..
    https://www.ssllabs.com/ssltest/analyze.html?d=blog.sorz.org
    so898
        44
    so898  
       2015-01-25 02:34:36 +08:00
    https://www.ssllabs.com/ssltest/analyze.html?d=nab.com.au

    擦擦擦擦擦擦擦擦擦擦擦擦擦擦擦擦!
    我有不少澳币都在这家上面呢!天啥的NAB啊!!!!
    futursolo
        45
    futursolo  
    OP
       2015-01-25 09:55:23 +08:00
    @lingo233
    あたしもそう思います。毎回このような文を読むの時、ココロから「それは何処の誰が発明の罰ゲーム」の感じが飛び出しました。
    wezzard
        46
    wezzard  
       2015-01-25 11:38:05 +08:00
    @futursolo あたし?樓主是妹子?
    futursolo
        47
    futursolo  
    OP
       2015-01-25 12:06:06 +08:00
    @wezzard
    いいえ、男だ、俺は本物のおとこだ。
    觉得俺是很粗鲁的,正式场合又不能用,早就戒了。
    又不是什么高富帅,用什么僕。
    就用正式场合用的第一人称好了。
    刚才打罗马音打少了一个w,楼主本人又比较懒,就不打算改了。
    没事,可能今年就买日版rMBP,拿假名键盘来用,不怕打错了。
    wezzard
        48
    wezzard  
       2015-01-25 12:38:35 +08:00
    @futursolo 翻新日語Mac鍵盤淘寶上100塊一台。
    futursolo
        49
    futursolo  
    OP
       2015-01-25 13:43:42 +08:00
    @wezzard 不必了,接着就买新rMBP了。话说楼上港澳台友人?
    dndx
        50
    dndx  
       2015-01-25 13:56:49 +08:00
    @NeoAtlantis 一点都不错,最讨厌这些喜欢自作聪明实现 “RSA” 的程序员了。不用 TLS 想搞你直接 MITM 插一段 JS 截获明文密码,比破解还简单。
    futursolo
        51
    futursolo  
    OP
       2015-01-25 14:08:09 +08:00
    @dndx
    就是就是。最重要第一阶段握手仅靠JS根本无法完成,也没有PKI,每次看到这种人一片一片的也是醉了。
    wezzard
        52
    wezzard  
       2015-01-25 15:40:14 +08:00
    @wezzard 非也,中國人是也。
    url
        53
    url  
       2015-01-25 20:30:52 +08:00 via Android
    @typcn 你这真的属于自嗨了
    isCyan
        54
    isCyan  
       2015-08-31 12:43:26 +08:00 via iPhone
    @MinonHeart WP8.1 支持 SNI ,支持 HSTS ,评分 A+也是可以正常打开的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3518 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 10:55 · PVG 18:55 · LAX 02:55 · JFK 05:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.