Ssl

通過 https 提供圖像內容,加密強度必須與主網站的加密強度相匹配嗎?

  • November 13, 2014

我正在考慮將我的網站遷移到 https。我有一個負責 HTML/PHP 的伺服器,以及 4 個其他提供圖像內容的伺服器

現在顯然所有圖像伺服器都需要是 https 以防止瀏覽器警告,但我想知道..

圖像伺服器是否需要與主 SSL 網站具有相同的加密強度?或者,無論密鑰長度和選擇的密碼如何,它們都通過 https 提供服務就足夠了。

我在Google上真的找不到任何關於這個的結論,但誠然,這是一個很難搜尋的話題

這似乎取決於瀏覽器,但根據我的經驗,瀏覽器只要求頁面中的替換內容由 HTTPS 載入。他們不在乎它是什麼力量。

簡而言之,您正確假設在 https:// 上託管的任何具有任何類型 SSL/TSL 等的外部資源都不會對您的任何訪問者造成明顯影響。

當我們的支付卡處理器被迫包含一些遠端 JS 時,我們遇到了完全相同的問題。

在對每種設備和瀏覽器組合進行一些研究之後,我們可以掌握(並使用一些網路工具,例如 browsershots.org 和 modern.ie。

我們發現我們測試的所有瀏覽器在向客戶端/訪問者提供掛鎖/安全連接徽標時僅引用載入頁面的 URL(以及它的標題)。

當包含外部 JS/圖像/小元件等時,包含的外部資源/文件具有用於 TLS/SSL 協商的截然不同的密碼鍊是很常見的。

甚至專家撰寫我們自己的 PCI 標準日常掃描器和我們發現的行業專家資源,例如www.ssllabs.com,為您提供伺服器協商 TLS/SSL/SPDY 等能力的概述和評分,他們甚至不載入文件內容,更不用說尋找任何包含的外部資源了。他們只看你在伺服器級別握手的能力。

我們提供對最新 TLS 版本以及Google新 SPDY 協議的支持的特定網站/範例中,我們授予 ssllabs.com 和所有顯示安全徽標的瀏覽器的“A+”,即使該頁麵包含允許兩者都過時的外部 javascript 資源SSL3 和 64 位 SSL 還沒有更新的行業標準加密。

引用自:https://serverfault.com/questions/569900