解決密碼過期造成遠端桌面(RDP)無法連線

最近陸續接到同事回報遠端桌面無法連線的問題,錯誤訊息如下;

You must change your password before logging on the first time. For assistance, contact your system administrator or technical support.

經過測試,這是因為帳號密碼過期,Domain policy 強制要求更換密碼導致,畫面如下;

1

但在測試中我們也發現一些異狀; 同一個帳號在Windows 7 的 RDP client 並沒有看到這個錯誤訊息,也不是連線到所有的 Server 都會有這個錯誤。

我們將問題情況整理如下表:

2
Windows 7 的 RDP client 在Windows server 2008 R2 & Windows server 2012 R2 都沒有問題

Windows 8.1 跟 Windows 10 的 RDP client 在 Windows server 2012 R2 上面會出現同樣的錯誤

問題判斷完了,接下來要找解決方式,先找找 google 有沒有類似的問題; 運氣不錯,幾篇文章都指出問題出在 Network Level Authentication (NLA) 跟 Credential Security Support Provider (CredSSP), 但是測試我們的 Server 不管有沒有勾選 NLA 結果還是一樣。

用 NLA 跟 CredSSP 當關鍵字,找到了兩個解法;

第一個解法 (client side) :

Adding “enablecredsspsupport:i:0” to *.rdp file is used to disable “Credential Security Support Provider”(CredSSP) in the RDP client

4

修改 Document 資料夾下面的隱藏檔案 Default.rdp ,以記事本開啟,加入 enablecredsspsupport:i:0

第二種解法 (server side) :

By applying the Require user authentication for remote connections by using Network Level Authentication Group Policy setting.

This Group Policy setting is located in Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security

新增 Group policy ,修改 Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Require user authentication for remote (RDP) connections

將選項設為 Enable ,Security Level 選擇 RDP

5

Apply Group Policy 之後,問題解決!

 

參考文件

Disable credSSP and NLA server side

Configure Network Level Authentication for Remote Desktop Services Connections

RDP Message: You must change your password before logging on the first time. Please update your password or contact …

 

 

CeBIT 2016 參觀記行 – 第 1 天

大概是兩年前吧,幾個老闆們去參觀過 CeBIT 之後,像是開了眼界般的丟了幾個項目要我們部門去研究,也不知道是我們資質駑盾還是真的沒找到應用點,印象中這幾個項目最後都是以不符所需告終,可能是這個原因吧,所以老闆這次要我自己來,哈哈哈。

我坐的飛機是 桃園 -> 香港 -> 蘇黎世 -> 漢諾威,總共花了 19 個小時多(含轉機等待時間),第一班次國泰航空感覺還不錯,座位設計的挺不錯的,雖然只是經濟艙但椅子不會說很挺,有點斜度,算是好睡的那種,美中不足的是國泰沒有辦法先幫我們出接下來兩段瑞士航空的登機證(但行李卻是可以直接掛到漢諾威),變成我們到香港之後還要先去瑞士航空劃位,幸好這一段的轉機時間有兩個小時左右,我和小杜算是從容的完成了這個任務,隨後還在香港機場內買了兩包優之良品的小零食,值得一提的是,我已經快 10 年沒來香港了,機場的購物區「似乎」變大了許多,但幸好現在各大機場都有提供免費 Wifi,看到什麼好東西都先上網比個價錢之後就熄火了。

接著就是連續 13 小時的痛苦了,這次是我第一次坐那麼久的飛機,來之前還特別去 Costco 買了個高貴的登機枕,無奈最後還是坐到屁股實在是受不了,大概每一兩個小時就會自動起來翻個身,說是翻身嘛,其實也只是把左屁股為重心換成右屁股或中屁股為重心,就這樣子撐了 13 小時,一開始時隔壁的法國阿姨和我有一句沒一句的聊了一下,說她這次是出差到華為見她老闆,我還開了她一下玩笑,說以前歐洲人是她們老闆,現在換她們是妳們老闆。

經過痛苦的 13 小時之後,在蘇黎世一下飛機,面前迎接我們的是這台自動販賣機

本來是想看一下這裡的飲料價格如何,但是看了說明牌子之後,發現每個英文字母都看得懂,但就是看不懂,原來不是英文來著,看 Wiki 上說瑞士官方語言有三種(瑞士德語、瑞士法語和義大利語),反正就是沒英語,之後我們到了德國其實這狀況也是一樣,這對我這個英文最爛的隊友來說,可以說是完全沒有劣勢,因為大家遇到德文都是完全沒輒,哈哈。

在蘇黎世機場的轉機時間很短,大概只有 30 分鐘的時間,同行的小杜跑去撇個條之後,才發現在這邊要再檢查一次行李並辦理入關,在這裡隊伍排的算有點長,檢查又非常的按部就班,我們等到最後一位同事進關之後,廣播正好也響起了催促的聲音,急急忙忙的也就跑到轉機閘口去上了 蘇黎世 -> 漢諾威 的飛機,這次只坐了一個小時左右,飛機開得很快,一下子就到目的地了。

在漢諾威出關時我發現自己耍了個白癡,當我看到小杜一拿到行李就把運送標籤撕掉時還好心勸誡了他一下,說是沒標籤等下通關時關務人員可能沒辦法確認這行李是不是你的,沒想到剛剛在蘇黎世轉機時的檢查及通關就算是入了歐盟了,所以到漢諾威是直接推著行李就可以走出門了,也突然想到剛剛蘇黎世的海關問我要去漢諾威幾天時,我只答了個 5 天而已,這應該是不會有事吧。

為了要去問這次漢諾威展期的 GVH CeBIT Card (一種展期間的 All-pass 票券,以往似乎是有票就有一定範圍的免費大眾交通工具,今年則改成要買這種卡),我們先跑去了機場的資訊中心,這時才發現 GVH 是一間運輸公司,所以在機場是買不到這個卡的,要買要到市區去,叫我們坐地鐵 S5 去中央車站問問看,原本我們就打算四個人花個 14 歐左右搭火車進城,不過大圈說帶著行李多不方便,所以這趟路程就變成了豪華團規格:直接搭計程車去飯店,這樣子花的錢大致上是多一倍,28 歐大概。

機場門口我們叫的計程車是 VW 的,雖然也有很多 Benz 計程車,但不知道是不是曾被告知過新加坡叫 Benz 的會比較貴的關係,在這裡我們很沒有猶豫的就選了 VW 的,那些 Benz 倒是從未入我們的法眼過。

飯店離所謂的中央車站不遠,5-10 分鐘之內就可以走到,由於一早到飯店房間還沒準備好的關係,我們寄了行李之後就走路到車站去了,有趣的是中間碰到路人問她們怎麼到 Subway station 或 Railroad station,她們都聽不懂,後來講到 ‘Main station’ 這兩個字之後她們才豁然開朗,這中間我們是否犯了什麼德語上的錯誤就不得而知了。

中央車站 (似乎叫 Hannover Hbf 或 Hannover Hauptbahnhof 都是指中央車站,或火車總站) 正門口的對面有個小綠亭子就是賣 GVH CeBIT Card 的地方了,幸好我們都知道不恥下問的要問一下,不然這亭子上又沒寫 GVH 字樣,又或是那個 ustra 就是德文的 GVH 挖貴的,我們也很難猜得出來。

09

這個展期間的全通卡長相是這個樣子,有趣的是,其實這裡的地鐵車站(或全德國?!) 都是沒有閘口的,所以這張片今天一拿到,到目前為止坐了幾趟地鐵也都沒拿出來過。

10

車站裡頭是我們認為最熱鬧的地方了,這個店面賣的德國香腸很好吃,我吃的是中間那個,2.5 歐換算成新台幣是 91 塊錢,挺貴的,有附一塊小麵包,沾醬我們都覺得很棒。

這是我們後來的正式午餐,4.5 歐,不太確定老闆娘是越南人還是泰國的華僑,口味算蠻合的,份量也很 OK (我猜德國人喜歡吃肉,肉放得很多),這車站裡的東方餐館挺多的,有明顯寫中文的,也有越南或疑似泰國的,德國人似乎也很捧場,吃的人算挺多的。

13

車站地下室有兩個超市,一個叫 Rossmann,另一個叫 LiDL,上網查了一下,兩個都名氣很大,Rossmann 是因為有網友推薦她們自家的維他命發泡錠和小甘菊護手霜,LiDL 則是德國的有機連鎖超市,當時我們在 Rossmann 是先逛逛,後來發現 LiDL 裡面的人多很多,才發現 LiDL 裡的感覺就像台灣的全聯福利中心一樣,有點小亂,但東西很便宜,不管是飲料、零食還是水果青菜(小杜說看她們蔬菜上還有很多土,不愧是有機),我們自然是選擇這邊了。

LiDL 沒有提供購物袋,這對我這種平常就會自備購物袋的宅爸來說當然是沒有什麼太大的問題(有問題的是買太多啦,購物袋裝不下),這裡的東西有多便宜呢?

歐元兌台幣大約是 1: 36.4 ,小熊軟糖 380g 一包 1.09 歐,一罐 1.5 liter 的 Freeway 可樂(大概是當地的吧) 賣 0.5 歐,香蕉共 6 根賣 1.26 歐,2 liter 的 100% 蘋果汁賣 1.19 (小圈說這是加工過的),超大顆的草莓一盒不到 2 歐(剩下這顆是最小的,大的都吃完了)。整體看來,和餐廳吃飯的高昂的價格很難聯想在一起,猜測這也是人工貴的一種表現吧。

相較於一堆台灣人去都是寫說住民宿,我們似乎住的算豪華的了(雖然也只是三星級)

 

(未完待續…)

新 Dell Latitude 12 7250 開箱

D1 D2

由於公司規定 NB 的使用年限只有三年,所以這次又來汰舊換新了,當然汰換的不是我手上的 7240,不過大家應該只會對這次改版比較好奇,所以比較的對象就放 7240 了。不知道 7250 都是黑色的還是我們剛好買到的是黑色的,看起來是耐髒了一些,好不好看到是見人見智。

巧克力鍵盤似乎是大家比較喜歡的形式,整個佈局看起來也「好看」的許多,獨立的電源按鈕改得更 Mac 風了些。

D3

一樣有網路插孔和 HDMI ,周邊的孔位和兩年前的 7240 其實一模一樣。不過,如果你看原圖大小的話,可以發現做工有些小缺失,收邊收得不太完美,有點粗。

D4

7250 (左) vs 7240 (右) ,可以發現幾點 1) 觸控版變大了一點  2) 巧克力鍵盤  3) 電源鍵 Mac 化 4) 拿掉獨立音量鍵 5) 拿掉獨立 Home 與 End 鍵改為,其實我是認為改巧克力鍵盤不錯,不過為何要犧牲獨立音量鍵?連 Home 與 End 都變成組合鍵了,難道現代人打字都很少用這兩鍵的嗎?我自己可是很常用到 Ctrl+Home 或 Ctrl+End 的說,沒有 Home 和 End 獨立鍵的話,一次可是要按三個鍵的說。

D5

拆機方式同 7240,拔掉兩顆小螺絲就可以了

D6

看起來貌似仍有兩個 msata 插槽

D7

但實際上 msata 已經插不上去了,接頭就已經不相容了,看來這個 WWAN 插槽應該是所謂的 NGFF M.2 規格,但一來市面上找不到這種短卡的 M.2 SSD,二來同事查對岸網站有查到 14吋的 7450 的 M.2 插槽並不支援 SSD (不確定是 BIOS 沒寫到還是線路沒拉),推測 7250 大概也沒只指望了,幸好這次買之前就已經怕有這種問題,加上 256GB SSD 價格也合理化了,所以直接就是配好 256GB 的 msata SSD 出貨了。 (2015/10/30 更新,感謝 M 網友的資訊,M2 2242 規格的 SSD 已經可以在市面上買到了,不過 BIOS 能不能認到還有疑問)

D8

最後,看來是沒有配到智慧卡讀卡機… 讀卡機的開口被檔版擋住了,以後拿這台出差的要繳費時就比較麻煩些了。(2015/10/30 後來 MIS 通知是廠商搞錯了,回去換了批有讀卡機的回來,哈)

D9

我也來修紅米機的 USB 座

看了 Lance 兄的網誌之後,就覺得這應該是紅米機常見的問題,由於紅米機的 USB 插座外框並沒有明顯的梯刑防呆,相信也有很多不夠細心的人把插座也插壞。

RM01
*
 很難拍到金手指壞掉的裡面

也許是支值班用的手機的關係,大家並沒有溫柔的對待它,本來我也是想說就汰換掉就好,沒想到 Lance 兄發現修這個成本超低,剛好現在 maker 當紅,故小弟我也來當個小 maker 好了。

首先,先到淘寶去找貨,讓人意外的是,Lance 兄說成本不到 400 台票,但我連料帶直送運費只花了 28 塊人民幣,這樣子只要台幣 140 而以耶,聽說手機送外面修起碼是 600 起跳,看來這麼幹就現賺 460。不過運送時間頗久,我 7/14 下單,一直到今天 7/22 才到貨。

RedMi

有時候真的覺得身在台灣的人很難想像一些小物的成本到底有多低,一個售價約等於台幣 70 塊的紅米尾插小板,也可以附贈上這幾個小東西…

RM02

拆機塑膠片剛好派上用場,但其實這兩個塑膠小物並不是非常就手,大概拆了一次就有點缺角了 (螺絲有很多顆,要先記得拆掉啊)

RM03

下面這片就是我們要換掉的主角,拆掉兩根螺絲後把天線拔掉

RM04

掀起後背面還有一條排線也小心的用指甲摳起來

RM05

整個過程不用 15 分鐘吧,新手如果也這可以這麼快,140 塊 + 邊吃早餐邊拆裝的時間,幫公司省點錢,宅男的成就感 – 無價。

RM06

海外裝機記實

話說在這個不太國際化的小島上,小魯的許多朋友(有點 ptt 上身了)常會很羨慕魯蛇我常有海外出差的機會,他們常對出差有不切實際的幻想,以為出差多半是個爽差事,去上個幾天不太累的班,然後賺到幾天免錢的旅遊機會。

各位朋友啊,公司要派人出差就是要賺錢,出差就是趕快把事情做完,做得又快又好,還要加上客戶夠大方,帶你去逛個半天吃個飯就已經很了不起了,異國風情?就是在你搭車從機場到客戶駐地沿路的風景,當地美食?特色便當或印有不同外包裝的可樂,血拼敗家?上班時通常商場都沒開,下班時勉強可以逛一下還開著的便利商店…

以下就來分享某次出國比賽裝機的經驗,我都沒有在玩喔,大家也都很認真的、日以繼夜的把事情搞定,也多虧大家的幫忙,這真是一次難得的經驗。

這次的裝機地點在是我們的鄰居 – 菲律賓,機房聽說離市區不遠,但是由於市區天天塞車,早也塞晚也塞的關係,我們一直以為機房在偏遠的郊區…

如何?機房看起來白白淨淨的吧?其實當天我們在那邊看隔壁的 Facebook 是一整個機櫃(含設備)送進來,然後只來了兩個工程師,有義氣的我們當然是一次來八個。(小K的OS: 他們 FB 才來一櫃,你沒看到這兩排都是我們要裝的?)

01 02 03 04

現場看其實就知道誰有經驗誰沒經驗了,看,這些坐地板的就都是菜鳥,沒兩天就腰酸背痛的,懂得利用環境(機櫃隔板)或站或坐的,就是有經驗且續航力比較久的老鳥。

中場出去吃飯了,雖然我已經忘記去吃了什麼東西,其實也搞不清楚這商場叫什麼挖貴(啊就告訴是我們是去工作不是去玩的),小魯還是勉強擠出兩張照片和小小的心得給大家,菲律賓真的沒我以前想像中落後,商場很大很現代,型態比較美式一些,不像臺灣的百貨公司的櫃位很擁擠(日式?),另外就是人多的要命,而且都馬是當地人,聽說當地的貧富差距也頗大,菲律賓人口將近一億人吧,假設有 5% 有錢人的話,那不就是有 500 萬有錢人?想到這裡也就不難理解為什麼人這麼多了。(我照片裡照到的人很少,但實際上裡頭很多人的)

05 06

吃完飯又回到機房,巡一下

07 排插樣式老舊了一些,也沒有電流顯示,不過是三孔耶,和台灣一樣

08客戶自己找當地施工,其實這些patch cable算拉的有水準

09Patch pannel也弄得有模有樣,聽說都是有牌的大廠

10線打的也不錯

好了,優點看完了,接下來就是令人難以想像的缺點,知道這些缺點難道也有助於培養國際觀嗎?

首先是自動分離插座三連發,這些事前一天插上去的插頭,其實這些插頭是隨機器一起過去的,和我們台灣用的沒兩樣,想來是排差的問題(夾不緊?)。希望下個月客戶不要因為插頭掉下來跑來幹憔我們說連插頭都插不好。不過後來樂觀的想,也許他們早習以為常,搞不好還有個 SOP 是要每次巡機房時順便把插頭插好哩…

11 12 13

其實小魯以前自己是作夢也沒想到,自己有一天也有出國比賽的機會(是說服務輸出啦),以往待過的地方都是花大錢請國外的顧問、工程師來指導,沒想到這一次是從台灣輸出專業人力,雖然老實說,就我們自己看來,這不是什麼高度技術活的工作,但萬事都是比較級的,加上台灣這邊其實從搞 Infrastructure 到軟體開發是有一定的產業鍊了,或許東南亞市場是我們未來的一個機會也不一定。

註:印尼人口2.4億,菲律賓9800萬,越南8900萬,泰國6700萬,馬來西亞2900萬(奇怪比想像中少),每一個國家Internet都是快速發展中

台中辦公室施工兩三事

這半年來事情太多了,公事忙,家裡事情也忙,看到了 Dropbox 裡去年在台中辦公室施工時的幾張照片,留言做個記錄好了

從裝修中的台中辦公室看出來,景觀很棒,據說是台中市數一數二貴的地段,但是和台北市地段普通的辦公室比起來,還是便宜了些,哈哈

台中辦公室景觀

因為有其它會議的關係,我不是第一天就來這邊,這天早上到現場時 I大 和 R哥 正坐在工地裡"施工",這間其實是台中辦公室的會議室,旁邊那些一箱一箱的東西就是我們的傢斯,裡面有網購訂來的手推車、工具箱,燦坤買的 Sony 電視用來做視訊會議用的,事先請托運弄下去的 SSG-140 和 server (記得是舊的 2950),Wifi AP… 由於台中辦公室還沒有同仁上班,大門在白天施工期間也沒門禁,師傅在忙大概也不太方便幫我們看東西,所以這些東西都得要協調好在 I大, R哥 下去的第一天就到齊,然後兩位自然是早早來,晚晚走,走時順便鎖門了。我還記得 I大 很不放心那台 Polycom 500 用托運的下去,畢竟小小一台要價二十幾萬呀,所以他自己抱著坐高鐵下去。

IR 連線

這天先到的中華電信 “使用說明" ,話說台灣辦公室可以申請這種有固定 IP 的光世代真是省錢啊,一個月不用兩張小朋友就有 60M/20M 加上 6 個固定 IP,在新加坡的辦公室就不能申請這類他們所謂「家用型」的費率,這種價錢如果拿去 IDC 租國內頻寬的話,連 2Mbps/月 都租不到哩。當然這類的光世代因為有集縮比,所以拿來架站是不實際的,但是放辦公室給同事上上網查資料,收個信或開個視訊會議,完全是綽綽有餘的。況且我們對辦公室的慣例是一次申請兩間固網的線路來做備援,算是相對省錢又安心的作法。

光世代

中間發生了一件小插曲,這間辦公室的大樓提供了很多地插給我們用,我個人還蠻喜歡地插這種設計的,只是… 這個地插好像和我之前用過的不一樣說,帶來的延長線頭插不進去,真尷尬,後來還特別交代台中要買延長線時要特別小心。

地插

Server room 留的空間有點小,計畫中這裡是暫時不放 MIS 人員的,以後就算有也是負責維護辦公室 PC/NB 這類設備,所有的主要伺服器還是放台北,所以原本的 19″ 標準機櫃改成了開放式機櫃,水電師傅原本還不太懂什麼叫開放式機櫃,照我們台北的圖上面插滿線他好像也看不太出來,後來去拍賣上找了張示意圖給他,最後就弄來了這座。這種開放式機櫃自然是指能上 Switch, Router 這類的 1U 輕設備,也當成是集中式線槽面板用,伺服器顯然是上不去的,那… 剛剛地上還說有台 2950 ?  最後就是放地上了,倒是我們的工頭很貼心的在這裡專門留了個冷氣孔,所以這間是很冷的,雖然我記得當初是請他不用留冷氣孔的,原本我們也只打算放 PC 當 server 用,既然有冷氣了就把淘汰下來的 2950 搬一台來用了。

開放式機櫃

這張被我手指檔到了,給大家看一下地上那堆從辦公室各處網路接孔收攏來的 Cat5e 最後都要打在這個開放式機櫃上。

打上 Pannel 前的線路

認真的師傅最帥氣,要刷這種 Idea Paint 似乎要多道工序,跑了 Scrum,上了看板之後,現在公司的同仁都還蠻喜歡畫白板了,老闆就多弄幾處 Idea Paint 讓大家畫個爽

油漆師傅

半成品的走道,地上又看到一堆網路線,等等它們可是都要收到地板下的,過兩天地毯也是會再蓋上去。其實這已經是完工前的三四天吧,大概就叫做術業有專攻吧,我也沒想到現在看似亂糟糟的工地過幾天後就變得漂漂亮亮的了。

半成品走道

台中辦公室有間頗有設計感的會議室,想來設計師應該是想把它做成立體玻璃櫥窗的感覺,但是放這轉角處害我轉彎小小的撞倒了,辦公室啟用後這裡就放了座明顯的盆栽,也算是在設計與實用間做了取捨。

玻璃櫥窗

讓你的 SSL 更安全 – 移除弱 SSL 加密方式 (Cipher)

SSL安全性如何強化,含括了當前流行的各種伺服器的設定方式,包括IIS, Apache, F5 Load balancer, A10 等

SSL 通訊協定下,一開始 Client 與 Server 進行 Handshake 時,彼此會「溝通」有哪些加密方式是彼此都支援的,然後約定好稍後傳輸資料的加密方式。會使用哪一種加密方式和我們買的 SSL 憑證的價格並沒有絕對直接的關係,既使你買的是一年價值 TWD 35,000 的 VeriSign Secure Site with EV,也可能因為設定的緣故而導致於只用到 40 bits 的加密方式。

由於硬體的處理能力逐年的提升,舊加密方式的安全性會相對的變得容易破解,所以新的及更高規格的加密方式就不斷的被開發出來。但是一來是因為新的加密方式推出之後不一定所有的廠商都支援,另外有些舊規格的硬體也許無法負擔較高規格加密方式的運算需求,既使是沒有以上兩種限制,但光從實務面上,我們也很難要求世界上所有 Client 與 Server 都可以隨時更新到最新的版本。所以一般來說,就只會建議禁用那些特別弱或已經證實可被破解的加密方式。而一個好的系統管理員,或有在重視網站安全性的公司,就會定期去檢驗所管理網站上的弱安全性加密方式是否已經被禁用了,畢竟一旦當客戶上了我們的網站,若因為 SSL 加密方式太弱而讓客戶的機密資訊外洩,損失的也是我們自己。不過很可惜的是,台灣有許多的網站並不太注重這件事情,我不太清楚原因為何?不過老實說,就算是我們用了這些所謂的弱 SSL 加密方式,想要側錄並進行破解還是得有一定的配合條件,一般的駭客或木馬想來應該寧願把功夫先花在那些未加密的連線或是 Key strokes 的側錄,而非花功夫去破解這些已經加密過後的東西。

只是身為一個知名網站的管理者,為了避免駭客針對性的攻擊,我們還是得用 100 分的標準來看待這件事情,以台灣的網站來看,我們利用 Qualys Labs 所提供的免費檢測工具,檢查了幾個國內的知名網站:

知名遊戲網站 1:
01

知名遊戲網站 2:
02

知名電信公司 1:
03

知名電信公司 2:
04

知名網購:
05

若以該網站的統計數據來看,拿到 B 的網站是最大宗的,第二名反倒是拿到 F 的網站,由於這是個英文網站,測試的標的應該來自於全世界各地,可見得就算是把這個標準放在全世界來看,拿到 A 級分的網站比例也是不高的。 (2016/11/28 更新,截至目前為止,拿到 A 的比例已經是最高的了,SSL Labs 測試的樣本中,有 48.3% 的網站都可以拿到 A 以上)

06

其實拿到 B 也不表示這個網站不夠安全,讓我們來看看這個分數的組成定義,首先是 Certificate ,從以上的例子來看,這個項目的分數大家都是拿 100,表示大家的 SSL 憑證都沒有過期,而且是和網址相符的,也沒有 Chain certificate 的問題。表示上述每一個網站的 SSL 憑證都有被正常的申請及安裝。

第二個項目是 Protocol Support ,由該網站的定義中可以發現,他是用 SSL 2.0, 3.0 和 TLS 1.0, 1.1, 1.2 的支援程度來做加權平均的,而且自 2014 年 1 月起,不支援 TLS 1.2 的就會被打到 B 去,可見得這個網站也是越來越嚴格。我看很多台灣人還是在使用 Windows XP ,這些人既使安裝了 XP 能支援到的 IE8,其 TLS 也只支援到 TLS 1.0 的版本,連 TLS 1.1 都不支援,更遑論 TLS 1.2 了。而 Windows 7 上的 IE 則是需要到 IE 11 才支援 TLS 1.2,若你的 Windows 7 上安裝的是 IE 10 ,那也只支援到 TLS 1.1。那表示既使是伺服器已經可以支援到 TLS 1.2 ,瀏覽器沒有支援到位的話,他們之間還是會以較低的加密方式來處理 SSL。所以你說可不可以從伺服器端把 TLS 1.0 禁用?那表示你不打算讓 Windows XP 的 IE 使用者連上來了。

第三和第四個項目是 Key Exchange 與 Cipher Strength 這一點,基本上這個網站會告訴你,哪些 Cipher Suites 是安全的,哪些是安全性較弱,而哪些是完全不安全的,以下圖來看,那些有用到 MD5 作為演算法的加密方法都被標示為 INSECURE,由於 MD5 在 2009 年已經被證實在一般的電腦上只要花數秒的時間即可破解,所以無論是多少長度的金鑰也是無濟於事。另外那些短於 1024 bits 長度金鑰則會被歸類為 WEAK,因為長度過短,所以相對來說容易被破解,最好也是禁用掉。

07

其實不管是 Web server (IIS 或 Apache),能作為 SSL Proxy 的設備或服務 (如 Load Balancer, CDN),當推出新版本時,都會適當的在預設值中就禁用一些不安全的憑證,但是身為系統管理員,就會知道有時候因為升級版本需要新的授權預算,有時候是因為應用程式和新版本不相容等等的原因,我們並沒有辦法每一次都跟著廠商一起升級,所以瞭解你所管理的系統該怎麼禁用不安全的加密方式就顯得非常重要了。

要檢查你的網站目前支援了哪些加密方式除了可以用上述的網站之外,如果你不太希望「公開」地留下查詢的資料,或是希望在還沒有正式上線前進行檢查,也可以利用 OpenSSLSSLScan (Windows 版),來查詢或驗證。我自己是用後者,因為操作起來方便又簡單,執行出來的結果就如下圖所示,其中 Accepted 的 Cipher 已經很少了
(* 2015/07/27 更改 SSLScan 連結,原版本已經久未更新,我另外在 Github 上找了另外一個版本,用法相同,但顯示方式不同)

08

如何禁用?在 Windows 上的 IIS 會挺麻煩,根據這篇文章所示,你必須手動去更改 Registry,而且改完之後必須要重開機,由於每個加密方式在 Registry 的命名方式不太一樣,所以需要時要去找出來,或參考這篇。感覺上有點麻煩嗎?那請服用網友推薦的這個小工具,直接用選的,而且還內附 Qualys SSL Labs 的捷徑。

09

至於 Apache ,基本上就是在設定檔中把想要禁用的 Cipher string 給加入就可以了,一般我們會不太希望把所有設定都搞在 httpd.conf 中,所以大家一般都是把這樣子的禁用字串寫到 /etc/httpd/conf.d/ssl.conf 裡。語法請參考這裡。另外這裡有提供簡單的說明網頁

由於 F5 也是和 Apache 一樣使用 OpenSSL 來提供 SSL 功能,所以在 Local Traffic -> Profiles -> SSL -> Client 選單中,選擇你要修改的 clientssl profile,然後選 Advanced,就可以在 Ciphers 欄位中填入欲禁用的字串

10

如同之前有提到的,F5 每個版本都會禁用掉一些不安全的加密方式,這裡是 10.x 以前版本的啟用清單,而這裡放的就是 11.x 的啟用清單。

A10 的 SSL Cipher 支援則是比較特別一點,它是可以用「選」的,

11

Windows 2008/2012 支援的加密方式如此頁面所示,OpenSSL 則在該頁面中有列出不再支援的加密方式 (Deprecated SSL v2.0 cipher suites)。但很顯然的,Windows 或 OpenSSL 預設禁用的加密方式就不會太多,所以自己提高警覺,根據你的需要去設定要支援的加密方式,才是最佳的安全之道。

  • 至於其他 Web server ,我猜只要是使用 OpenSSL 套件的,應該可以在某個設定檔/設定畫面中找到放禁用字串的地方
  • 補充:文中所提到的 Qualys Labs 的工具網站也增加了最近熱門的 HeartBleed 偵測 (2014/04/22)
  • Qualys Labs 的工具網站也增加了最近熱門的 POODLE (SSLv3 漏洞) 偵測 (2014/10/21)

* 2014/10/21 更新: 10/14 時有個 SSLv3 的漏洞被發佈 CVE-2014-3566 ,由於預設採用 SSLv3 的瀏覽器很少(幾乎沒有),且多半還可以走 TLS ,所以 Linode 就建議把 SSLv3 給關掉,Linode 網站 上提有供各種 Open source web server 的 SSLv3 關閉方法,請自行參閱。F5 也提供了對應措施,有趣的是,F5 早在 2014/03/03 發表的 11.5.0 版本時就把 SSLv3 給關掉了