国内外银行 SSL 强度测试

2015-01-24 12:08:26 +08:00
 futursolo

按加密强度排序:

花旗中国 https://www.ssllabs.com/ssltest/analyze.html?d=www.citibank.com.cn 国内唯一一个进首页就开始全SSL Stream的,等级B
招行 https://www.ssllabs.com/ssltest/analyze.html?d=pbsz.ebank.cmbchina.com 等级B
农行 https://www.ssllabs.com/ssltest/analyze.html?d=easyabc.95599.cn 等级B
渣打中国 https://www.ssllabs.com/ssltest/analyze.html?d=cn.online.standardchartered.com 等级B
中行 https://www.ssllabs.com/ssltest/analyze.html?d=ebsnew.boc.cn 等级C
邮政 https://www.ssllabs.com/ssltest/analyze.html?d=pbank.psbc.com 等级C
工行 https://www.ssllabs.com/ssltest/analyze.html?d=mybank.icbc.com.cn 等级F
建行 https://www.ssllabs.com/ssltest/analyze.html?d=ibsbjstar.ccb.com.cn 等级F
交行 https://www.ssllabs.com/ssltest/analyze.html?d=pbank.95559.com.cn 等级F
中信 https://www.ssllabs.com/ssltest/analyze.html?d=e.bank.ecitic.com 直接报混合内容。。。等级B
浦发 https://www.ssllabs.com/ssltest/analyze.html?d=ebank.spdb.com.cn 这个也是混合内容。。。等级B

总结:国内银行搞得越大,安全等级越低(四大国有里面有三个F...),越小等级越高,外资银行搞得最好

港台
東亞銀行https://www.ssllabs.com/ssltest/analyze.html?d=mobile.hkbea-cyberbanking.com 等級B
恒生銀行https://www.ssllabs.com/ssltest/analyze.html?d=e-banking.hangseng.com 等級B
臺灣銀行https://www.ssllabs.com/ssltest/analyze.html?d=ebank.bot.com.tw 等級F

嘛,除了台银还都挺好的嘛。

来点老外的银行
Bank of America (United States) https://www.ssllabs.com/ssltest/analyze.html?d=bankofamerica.com Full SSL Streamed with HSTS, Rank B
Deutsche Bank (Deutschland) https://www.ssllabs.com/ssltest/analyze.html?d=deutsche-bank.de 全站SSL 等级B(对不起,不会德语。。。)
富士銀行(日本) https://www.ssllabs.com/ssltest/analyze.html?d=fujibank.co.jp Google Chromeは「DNS ルックアップでエラーが発生したため、fujibank.co.jp にあるサーバーを見つけることができません。」って言いました。(喂,什么情况。。)

除了富士银行打不开之外,其它两家都挺好
PS:为什么选这三家?
1. 知道BOA
2. 有朋友在德意志与11区留学ing(以前听他们说起过这两家)

第三方支付平台:
PayPal https://www.ssllabs.com/ssltest/analyze.html?d=paypal.com Full SSL, Level B
支付宝https://www.ssllabs.com/ssltest/analyze.html?d=alipay.com 全站 SSL,等级B
财付通https://www.ssllabs.com/ssltest/analyze.html?d=tenpay.com 全站 SSL,等级C

另外附上度娘和谷歌的好了:
搜索引擎
Google https://www.ssllabs.com/ssltest/analyze.html?d=google.com 全站SSL加HSTS,等级B
百度https://www.ssllabs.com/ssltest/analyze.html?d=baidu.com 等级B

前天晚上搞了1个半小时,总算搞定了(为什么比写代码还累?),昨晚忘记发出来了,今天发出来。

10187 次点击
所在节点    SSL
54 条回复
yksoft1
2015-01-24 14:06:39 +08:00
@futursolo 为啥没有银行用http传输自定义的加密协议,用js实现一套RSA之类的。
MinonHeart
2015-01-24 14:06:48 +08:00
@wzxjohn 得A+也没问题(A跟A+是差HSTS,这个并不影响兼容性),那个chiper的数量也是兼容各种浏览器的关键点。你看看OpenShift的服务器配置

https://www.ssllabs.com/ssltest/analyze.html?d=fm.hub.moe
MinonHeart
2015-01-24 14:09:30 +08:00
@wzxjohn 可以拿
https://www.ssllabs.com/ssltest/analyze.html?d=hub.moe
这个做对比,这个是在VPS上,chiper跟OpenShift的有差别
zhengshuai
2015-01-24 14:18:36 +08:00
wzxjohn
2015-01-24 14:24:01 +08:00
@MinonHeart 最近这些网站的算法都改了很多,可能我认知的拿 A+ 的方法已经变了。抱歉。
MinonHeart
2015-01-24 14:31:06 +08:00
@wzxjohn 能有WP测试一下就好了,我也只是根据下面给出的兼容性看了一下,没有具体测试。这点小事不必抱歉
juneszh
2015-01-24 14:48:09 +08:00
广发呢
fengxing
2015-01-24 15:14:47 +08:00
沒辦法,誰讓中國現在XP還是有很多呢。你無法強制用XP系統的人升級,所以你只能照顧用XP的人
geeklian
2015-01-24 15:17:12 +08:00
@juneszh F..周末加班已经去搞了,尽快随大波变成B、C吧
Havee
2015-01-24 15:23:28 +08:00
部署 ssl ( SHA256withRSA) 到服务器A,A反代B
结果分数是 B,xp 与 Android 2.3.7 都是 fail
futursolo
2015-01-24 16:06:35 +08:00
@yksoft1 解释这个问题其实很简单,主要有以下原因:

1、安全性,采用OpenSSL都出那么多问题,按中国程序员那水平(除了写GFW那帮人外),谁敢保证不出问题。而且,对付HTTPS的手段是MITM,所以发明了["PKI" https://zh.wikipedia.org/zh-cn/%E5%85%AC%E9%96%8B%E9%87%91%E9%91%B0%E5%9F%BA%E7%A4%8E%E5%BB%BA%E8%A8%AD]来检验证书防止那东西,自己做JS是不可能达到那样的高度的。

2、性能,两个方面:
(1)网速:OpenSSL的大小好像在5MB左右,欧美就算了,你让咱国内小水管每次加载个5M的文件,再加上国内一堆NC和低素质喷子,不被骂死,也被口水淹死。
(2)计算速度:JS对于运算不能启用硬件加速,因为你没办法告诉CPu将你接下来的运算是AES或者其它的什么,这样CPU就没法启用硬件加速,然后你就笑了。(clowwindy的ShadowSocks ChromeBook版就是JS做的,只提供table,按他本人的话说:“chrome app 现在没有加密 API,只能用 JavaScript 加密,如果用 AES 加密,就看着它发热吧……”,对,你就看着它化成铬水吧。)

3、不能装13:因为没有绿色小锁,不能显示你是天朝XX银行(有的银行觉得不买VeriSign的Extended Validation都不够装,父亲大人曾工作在银行,他透露的),容易被某些XX给喷。
yksoft1
2015-01-24 16:15:47 +08:00
@futursolo 完整的OpenSSL包括非常多的加密方式,实际运用的时候不需要那么多。
lingo233
2015-01-24 16:19:47 +08:00
Google Chromeは「DNS ルックアップでエラーが発生したため、fujibank.co.jp にあるサーバーを見つけることができません。」って言いました。(喂,什么情况。。)

chrome报告检测dns发生故障,无法访问服务器
invite
2015-01-24 16:33:54 +08:00
不明觉厉
futursolo
2015-01-24 16:39:26 +08:00
@yksoft1
不要看OpenSSL包含那么多加密,你要分解一下
1、加密:AES、RC4、3DES...(一共不会超过6种,不想去数了)
2、密钥交换:RSA、ECDSA等等
3、身份认证:SHA1、SHA256等等

当然,如果你真的想试一下的话,JS版的Crypto Library在这里。
https://code.google.com/p/crypto-js
如果你做出来了的的话,可以试着去Lobby下CCB和ICBC的老总们去把OpenSSL给Replace掉,想那些码农也不敢反抗老总吧。

@lingo233
我知道的啦,引语外的字就是我写的啦。
正规翻译:
Google Chrome说「由于DNS 查询发生故障、找不到fujibank.co.jp 的服务器(当然,你也可以翻译成,寻找fujibank.co.jp的服务器这件事Google Chrome做不到)。」
imlonghao
2015-01-24 17:34:25 +08:00
bitinn
2015-01-24 17:34:45 +08:00
A+并不难,难得是放弃IE6 on XP。我们的站点:

https://www.ssllabs.com/ssltest/analyze.html?d=addleaf.com
lingo233
2015-01-24 19:38:41 +08:00
@futursolo 好想吐槽lookup server,我在已经不会说出正确的读音了TT恥ずかしい
liujiantao
2015-01-24 21:22:41 +08:00
免费CA证书都能C的路过
futursolo
2015-01-24 21:30:20 +08:00
@lingo233 同感です。在家里看科技类文章的时候念出来总觉得特别羞耻。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/165005

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX