这是一个创建于 3576 天前的主题,其中的信息可能已经有所发展或是发生改变。
按加密强度排序:
花旗中国 https://www.ssllabs.com/ssltest/analyze.html?d=www.citibank.com.cn 国内唯一一个进首页就开始全SSL Stream的,等级B
招行 https://www.ssllabs.com/ssltest/analyze.html?d=pbsz.ebank.cmbchina.com 等级B
农行 https://www.ssllabs.com/ssltest/analyze.html?d=easyabc.95599.cn 等级B
渣打中国 https://www.ssllabs.com/ssltest/analyze.html?d=cn.online.standardchartered.com 等级B
中行 https://www.ssllabs.com/ssltest/analyze.html?d=ebsnew.boc.cn 等级C
邮政 https://www.ssllabs.com/ssltest/analyze.html?d=pbank.psbc.com 等级C
工行 https://www.ssllabs.com/ssltest/analyze.html?d=mybank.icbc.com.cn 等级F
建行 https://www.ssllabs.com/ssltest/analyze.html?d=ibsbjstar.ccb.com.cn 等级F
交行 https://www.ssllabs.com/ssltest/analyze.html?d=pbank.95559.com.cn 等级F
中信 https://www.ssllabs.com/ssltest/analyze.html?d=e.bank.ecitic.com 直接报混合内容。。。等级B
浦发 https://www.ssllabs.com/ssltest/analyze.html?d=ebank.spdb.com.cn 这个也是混合内容。。。等级B
总结:国内银行搞得越大,安全等级越低(四大国有里面有三个F...),越小等级越高,外资银行搞得最好
港台
東亞銀行https://www.ssllabs.com/ssltest/analyze.html?d=mobile.hkbea-cyberbanking.com 等級B
恒生銀行https://www.ssllabs.com/ssltest/analyze.html?d=e-banking.hangseng.com 等級B
臺灣銀行https://www.ssllabs.com/ssltest/analyze.html?d=ebank.bot.com.tw 等級F
嘛,除了台银还都挺好的嘛。
来点老外的银行
Bank of America (United States) https://www.ssllabs.com/ssltest/analyze.html?d=bankofamerica.com Full SSL Streamed with HSTS, Rank B
Deutsche Bank (Deutschland) https://www.ssllabs.com/ssltest/analyze.html?d=deutsche-bank.de 全站SSL 等级B(对不起,不会德语。。。)
富士銀行(日本) https://www.ssllabs.com/ssltest/analyze.html?d=fujibank.co.jp Google Chromeは「DNS ルックアップでエラーが発生したため、fujibank.co.jp にあるサーバーを見つけることができません。」って言いました。(喂,什么情况。。)
除了富士银行打不开之外,其它两家都挺好
PS:为什么选这三家?
1. 知道BOA
2. 有朋友在德意志与11区留学ing(以前听他们说起过这两家)
第三方支付平台:
PayPal https://www.ssllabs.com/ssltest/analyze.html?d=paypal.com Full SSL, Level B
支付宝https://www.ssllabs.com/ssltest/analyze.html?d=alipay.com 全站 SSL,等级B
财付通https://www.ssllabs.com/ssltest/analyze.html?d=tenpay.com 全站 SSL,等级C
另外附上度娘和谷歌的好了:
搜索引擎
Google https://www.ssllabs.com/ssltest/analyze.html?d=google.com 全站SSL加HSTS,等级B
百度https://www.ssllabs.com/ssltest/analyze.html?d=baidu.com 等级B
前天晚上搞了1个半小时,总算搞定了(为什么比写代码还累?),昨晚忘记发出来了,今天发出来。
 |
1
0x1e240 2015-01-24 12:26:34 +08:00 via Android
B,C那些是为了兼容老的浏览器
F这种,管理员懒、不愿改动系列 A+能弄出来,但是IE6的用户万年坑队友啊 https://www.ssllabs.com/ssltest/analyze.html?d=idongu.com |
 |
2
xoxo 2015-01-24 12:32:41 +08:00
ssllabs分析规则不仅包含安全测试,还有性能测试.
所以,各位看看就好了,别当真 |
 |
3
JackNo1 2015-01-24 12:42:48 +08:00
Bank of America (BoA)叫美国银行,Deutsche Bank叫德意志银行。
|
 |
4
typcn 2015-01-24 12:42:54 +08:00
我的 ssl 站是 A ,因为证书是 SHA1 的所以不是 A+
|
|
5
JackNo1 2015-01-24 12:45:30 +08:00
说实话我挺讨厌国内银行网银的那些控件之类的东西,像国外银行那样输入银行卡信息就很方便嘛。
印象中招商银行的手机网银(手机网页)可以在电脑浏览器上操作而不需要安装控件,支付宝的话就没办法了。 |
 |
6
futursolo OP @JackNo1 同感,招行的网上付款可以扫二维码来付,没开网银也可以,可以说是国内最方便的。
确实憎恶安全控件那东西,没有快捷支付真就要疯了。Win8.1用建行网银简直就是噩梦。 国外的东西不用网银也仅限付款的时候,真正网上转账也要用网银(但是的确没有神马安全控件之类的东西)。 |
 |
8
yksoft1 2015-01-24 13:09:51 +08:00
|
 |
9
Quaintjade 2015-01-24 13:26:35 +08:00 via Android
我配置过全100分的,但没几个浏览器兼容。
国内大银行态度上不太鸟SSL/TLS这套体系,都搞自己的一套安全审计。TLS这套证书体系说白了也就是个卡特尔,只不过已是既定标准。 |
 |
10
wzxjohn 2015-01-24 13:27:15 +08:00 via iPhone
@typcn 相信我全站 A 除了让部分用户完全无法访问你的网站以外没有任何作用。我的博客之前是 A+ ,直到我发现不光是 XP ,连最新的 WP 都打不开我的网站的时候,我就果断降回了 B 。你可以找一个 WP 手机尝试一下,估计你的站也是完全打不开的。
|
 |
11
mengzhuo 2015-01-24 13:28:19 +08:00
|
|
15
futursolo OP @oott123 当年Win8.1刚出的时候还没有支持,被迫在虚拟机里付款是就彻底恶心掉了。现在只用快捷支付或招行。
|
 |
16
MinonHeart 2015-01-24 13:52:19 +08:00 via Android
@wzxjohn WP打不开?只是波及XP才对,最多还有不支持sni的那些浏览器
|
|
17
futursolo OP |
|
18
wzxjohn 2015-01-24 13:54:36 +08:00
@MinonHeart 不不不你想要得到 A+ 需要去掉很多老的加密方法,可惜的是那些方法都是 WP 支持的。所谓的更安全的加密算法 WP 都暂时不支持。因为我的博客是单域名单证书,所以不存在 SNI 的问题。
|
|
19
MinonHeart 2015-01-24 14:00:19 +08:00 via Android
@wzxjohn WP支持不支持我不清楚,毕竟没有机器测试。不过测试的那个网站下面有兼容报告,显示WP并不存在兼容问题
|
|
20
wzxjohn 2015-01-24 14:01:50 +08:00
@MinonHeart 得 B 的网站当然没有兼容问题,我当时得 A+ 的时候就是看到兼容问题那栏 WP 打的问号才特地去用朋友的 WP 试了的。。。。。。。。。
|
|
22
MinonHeart 2015-01-24 14:06:48 +08:00 via Android
@wzxjohn 得A+也没问题(A跟A+是差HSTS,这个并不影响兼容性),那个chiper的数量也是兼容各种浏览器的关键点。你看看OpenShift的服务器配置
https://www.ssllabs.com/ssltest/analyze.html?d=fm.hub.moe |
|
23
MinonHeart 2015-01-24 14:09:30 +08:00 via Android
@wzxjohn 可以拿
https://www.ssllabs.com/ssltest/analyze.html?d=hub.moe 这个做对比,这个是在VPS上,chiper跟OpenShift的有差别 |
 |
24
zhengshuai 2015-01-24 14:18:36 +08:00
|
|
25
wzxjohn 2015-01-24 14:24:01 +08:00
@MinonHeart 最近这些网站的算法都改了很多,可能我认知的拿 A+ 的方法已经变了。抱歉。
|
|
26
MinonHeart 2015-01-24 14:31:06 +08:00 via Android
@wzxjohn 能有WP测试一下就好了,我也只是根据下面给出的兼容性看了一下,没有具体测试。这点小事不必抱歉
|
 |
27
juneszh 2015-01-24 14:48:09 +08:00
广发呢
|
 |
28
fengxing 2015-01-24 15:14:47 +08:00
沒辦法,誰讓中國現在XP還是有很多呢。你無法強制用XP系統的人升級,所以你只能照顧用XP的人
|
 |
30
Havee 2015-01-24 15:23:28 +08:00
部署 ssl ( SHA256withRSA) 到服务器A,A反代B
结果分数是 B,xp 与 Android 2.3.7 都是 fail |
|
31
futursolo OP @yksoft1 解释这个问题其实很简单,主要有以下原因:
1、安全性,采用OpenSSL都出那么多问题,按中国程序员那水平(除了写GFW那帮人外),谁敢保证不出问题。而且,对付HTTPS的手段是MITM,所以发明了["PKI" https://zh.wikipedia.org/zh-cn/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E5%9F%BA%E7%A4%8E%E5%BB%BA%E8%A8%AD]来检验证书防止那东西,自己做JS是不可能达到那样的高度的。 2、性能,两个方面: (1)网速:OpenSSL的大小好像在5MB左右,欧美就算了,你让咱国内小水管每次加载个5M的文件,再加上国内一堆NC和低素质喷子,不被骂死,也被口水淹死。 (2)计算速度:JS对于运算不能启用硬件加速,因为你没办法告诉CPu将你接下来的运算是AES或者其它的什么,这样CPU就没法启用硬件加速,然后你就笑了。(clowwindy的ShadowSocks ChromeBook版就是JS做的,只提供table,按他本人的话说:“chrome app 现在没有加密 API,只能用 JavaScript 加密,如果用 AES 加密,就看着它发热吧……”,对,你就看着它化成铬水吧。) 3、不能装13:因为没有绿色小锁,不能显示你是天朝XX银行(有的银行觉得不买VeriSign的Extended Validation都不够装,父亲大人曾工作在银行,他透露的),容易被某些XX给喷。 |
 |
33
lingo233 2015-01-24 16:19:47 +08:00
Google Chromeは「DNS ルックアップでエラーが発生したため、fujibank.co.jp にあるサーバーを見つけることができません。」って言いました。(喂,什么情况。。)
chrome报告检测dns发生故障,无法访问服务器 |
 |
34
invite 2015-01-24 16:33:54 +08:00
不明觉厉
|
|
35
futursolo OP @yksoft1
不要看OpenSSL包含那么多加密,你要分解一下 1、加密:AES、RC4、3DES...(一共不会超过6种,不想去数了) 2、密钥交换:RSA、ECDSA等等 3、身份认证:SHA1、SHA256等等 当然,如果你真的想试一下的话,JS版的Crypto Library在这里。 https://code.google.com/p/crypto-js 如果你做出来了的的话,可以试着去Lobby下CCB和ICBC的老总们去把OpenSSL给Replace掉,想那些码农也不敢反抗老总吧。 @lingo233 我知道的啦,引语外的字就是我写的啦。 正规翻译: Google Chrome说「由于DNS 查询发生故障、找不到fujibank.co.jp 的服务器(当然,你也可以翻译成,寻找fujibank.co.jp的服务器这件事Google Chrome做不到)。」 |
 |
36
imlonghao 2015-01-24 17:34:25 +08:00 via Android
|
 |
37
bitinn 2015-01-24 17:34:45 +08:00
|
|
38
lingo233 2015-01-24 19:38:41 +08:00 via iPhone
@futursolo 好想吐槽lookup server,我在已经不会说出正确的读音了TT恥ずかしい
|
 |
39
liujiantao 2015-01-24 21:22:41 +08:00
免费CA证书都能C的路过
|
 |
41
NeoAtlantis 2015-01-24 21:33:41 +08:00  1
楼上说用js搞加密的,考虑过js从哪来吗……http本来就是不安全的……加密库传过来就没有后门吗……
js加密只有在https下传过来,或者集成在浏览器内才有意义。这种情况下js不是拿来实现ssl实现过的功能的,而是做比如端到端的加密(类似PGP)。 |
|
42
lingo233 2015-01-24 22:04:13 +08:00
@futursolo 禿同しゃないだろうw。ところでこういたいいじゃないか、いつでもクソ若者に殴られる感じる。怖いwwww
|
 |
43
xierch 2015-01-25 02:12:57 +08:00
其实并不是为了 A+ 才放弃的 XP/IE,不支持 SNI 这点就已经放弃了..
https://www.ssllabs.com/ssltest/analyze.html?d=blog.sorz.org |
 |
44
so898 2015-01-25 02:34:36 +08:00
|
|
45
futursolo OP @lingo233
あたしもそう思います。毎回このような文を読むの時、ココロから「それは何処の誰が発明の罰ゲーム」の感じが飛び出しました。 |
|
47
futursolo OP @wezzard
いいえ、男だ、俺は本物のおとこだ。 觉得俺是很粗鲁的,正式场合又不能用,早就戒了。 又不是什么高富帅,用什么僕。 就用正式场合用的第一人称好了。 刚才打罗马音打少了一个w,楼主本人又比较懒,就不打算改了。 没事,可能今年就买日版rMBP,拿假名键盘来用,不怕打错了。 |
 |
50
dndx 2015-01-25 13:56:49 +08:00
@NeoAtlantis 一点都不错,最讨厌这些喜欢自作聪明实现 “RSA” 的程序员了。不用 TLS 想搞你直接 MITM 插一段 JS 截获明文密码,比破解还简单。
|
 |
54
isCyan 2015-08-31 12:43:26 +08:00 via iPhone
@MinonHeart WP8.1 支持 SNI ,支持 HSTS ,评分 A+也是可以正常打开的
|
Select Language