国内外银行 SSL 强度测试

2015-01-24 12:08:26 +08:00
 futursolo

按加密强度排序:

花旗中国 https://www.ssllabs.com/ssltest/analyze.html?d=www.citibank.com.cn 国内唯一一个进首页就开始全SSL Stream的,等级B
招行 https://www.ssllabs.com/ssltest/analyze.html?d=pbsz.ebank.cmbchina.com 等级B
农行 https://www.ssllabs.com/ssltest/analyze.html?d=easyabc.95599.cn 等级B
渣打中国 https://www.ssllabs.com/ssltest/analyze.html?d=cn.online.standardchartered.com 等级B
中行 https://www.ssllabs.com/ssltest/analyze.html?d=ebsnew.boc.cn 等级C
邮政 https://www.ssllabs.com/ssltest/analyze.html?d=pbank.psbc.com 等级C
工行 https://www.ssllabs.com/ssltest/analyze.html?d=mybank.icbc.com.cn 等级F
建行 https://www.ssllabs.com/ssltest/analyze.html?d=ibsbjstar.ccb.com.cn 等级F
交行 https://www.ssllabs.com/ssltest/analyze.html?d=pbank.95559.com.cn 等级F
中信 https://www.ssllabs.com/ssltest/analyze.html?d=e.bank.ecitic.com 直接报混合内容。。。等级B
浦发 https://www.ssllabs.com/ssltest/analyze.html?d=ebank.spdb.com.cn 这个也是混合内容。。。等级B

总结:国内银行搞得越大,安全等级越低(四大国有里面有三个F...),越小等级越高,外资银行搞得最好

港台
東亞銀行https://www.ssllabs.com/ssltest/analyze.html?d=mobile.hkbea-cyberbanking.com 等級B
恒生銀行https://www.ssllabs.com/ssltest/analyze.html?d=e-banking.hangseng.com 等級B
臺灣銀行https://www.ssllabs.com/ssltest/analyze.html?d=ebank.bot.com.tw 等級F

嘛,除了台银还都挺好的嘛。

来点老外的银行
Bank of America (United States) https://www.ssllabs.com/ssltest/analyze.html?d=bankofamerica.com Full SSL Streamed with HSTS, Rank B
Deutsche Bank (Deutschland) https://www.ssllabs.com/ssltest/analyze.html?d=deutsche-bank.de 全站SSL 等级B(对不起,不会德语。。。)
富士銀行(日本) https://www.ssllabs.com/ssltest/analyze.html?d=fujibank.co.jp Google Chromeは「DNS ルックアップでエラーが発生したため、fujibank.co.jp にあるサーバーを見つけることができません。」って言いました。(喂,什么情况。。)

除了富士银行打不开之外,其它两家都挺好
PS:为什么选这三家?
1. 知道BOA
2. 有朋友在德意志与11区留学ing(以前听他们说起过这两家)

第三方支付平台:
PayPal https://www.ssllabs.com/ssltest/analyze.html?d=paypal.com Full SSL, Level B
支付宝https://www.ssllabs.com/ssltest/analyze.html?d=alipay.com 全站 SSL,等级B
财付通https://www.ssllabs.com/ssltest/analyze.html?d=tenpay.com 全站 SSL,等级C

另外附上度娘和谷歌的好了:
搜索引擎
Google https://www.ssllabs.com/ssltest/analyze.html?d=google.com 全站SSL加HSTS,等级B
百度https://www.ssllabs.com/ssltest/analyze.html?d=baidu.com 等级B

前天晚上搞了1个半小时,总算搞定了(为什么比写代码还累?),昨晚忘记发出来了,今天发出来。

10187 次点击
所在节点    SSL
54 条回复
NeoAtlantis
2015-01-24 21:33:41 +08:00
楼上说用js搞加密的,考虑过js从哪来吗……http本来就是不安全的……加密库传过来就没有后门吗……

js加密只有在https下传过来,或者集成在浏览器内才有意义。这种情况下js不是拿来实现ssl实现过的功能的,而是做比如端到端的加密(类似PGP)。
lingo233
2015-01-24 22:04:13 +08:00
@futursolo 禿同しゃないだろうw。ところでこういたいいじゃないか、いつでもクソ若者に殴られる感じる。怖いwwww
xierch
2015-01-25 02:12:57 +08:00
其实并不是为了 A+ 才放弃的 XP/IE,不支持 SNI 这点就已经放弃了..
https://www.ssllabs.com/ssltest/analyze.html?d=blog.sorz.org
so898
2015-01-25 02:34:36 +08:00
https://www.ssllabs.com/ssltest/analyze.html?d=nab.com.au

擦擦擦擦擦擦擦擦擦擦擦擦擦擦擦擦!
我有不少澳币都在这家上面呢!天啥的NAB啊!!!!
futursolo
2015-01-25 09:55:23 +08:00
@lingo233
あたしもそう思います。毎回このような文を読むの時、ココロから「それは何処の誰が発明の罰ゲーム」の感じが飛び出しました。
wezzard
2015-01-25 11:38:05 +08:00
@futursolo あたし?樓主是妹子?
futursolo
2015-01-25 12:06:06 +08:00
@wezzard
いいえ、男だ、俺は本物のおとこだ。
觉得俺是很粗鲁的,正式场合又不能用,早就戒了。
又不是什么高富帅,用什么僕。
就用正式场合用的第一人称好了。
刚才打罗马音打少了一个w,楼主本人又比较懒,就不打算改了。
没事,可能今年就买日版rMBP,拿假名键盘来用,不怕打错了。
wezzard
2015-01-25 12:38:35 +08:00
@futursolo 翻新日語Mac鍵盤淘寶上100塊一台。
futursolo
2015-01-25 13:43:42 +08:00
@wezzard 不必了,接着就买新rMBP了。话说楼上港澳台友人?
dndx
2015-01-25 13:56:49 +08:00
@NeoAtlantis 一点都不错,最讨厌这些喜欢自作聪明实现 “RSA” 的程序员了。不用 TLS 想搞你直接 MITM 插一段 JS 截获明文密码,比破解还简单。
futursolo
2015-01-25 14:08:09 +08:00
@dndx
就是就是。最重要第一阶段握手仅靠JS根本无法完成,也没有PKI,每次看到这种人一片一片的也是醉了。
wezzard
2015-01-25 15:40:14 +08:00
@wezzard 非也,中國人是也。
url
2015-01-25 20:30:52 +08:00
@typcn 你这真的属于自嗨了
isCyan
2015-08-31 12:43:26 +08:00
@MinonHeart WP8.1 支持 SNI ,支持 HSTS ,评分 A+也是可以正常打开的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/165005

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX