
最近公司資安檢查報告中被檢查出了一個關於SSL的加密連線的弱點，這個弱點是因為我們沒有把不安全的加密演算法關閉導致這個弱點的產生，
在公司的政策中線上的伺服器不能任意安裝任何程式，所以`IISCrypto`就只能放棄無法使用，所以我修改的部分是使用修改幾碼的方式進行，
由於我不太熟悉資安，修改後要如何驗證呢這些已知有問題的演算法是否已經正確的被關閉了呢？

所以我又在網路上google找到幾個腳本，透過openssl與curl的搭配可以掃描我們的server支援了哪些SSL的加密方式，有從server site的檢查與client site的檢查。

```sh
# server side
URL="https://yi-shiuan.github.io/"

ciphers=$(openssl ciphers 'ALL:eNULL' | sed -e 's/:/ /g')

 for cipher in ${ciphers[@]}
 do
 echo -n Testing $cipher...
 result=$(echo -n | openssl s_client -cipher "$cipher" -connect $URL 2>&1)
 if [[ "$result" =~ ":error:" ]] ; then
   error=$(echo -n $result | cut -d':' -f6)
   echo NO $$error$
 else
   if [[ "$result" =~ "Cipher is ${cipher}" || "$result" =~ "Cipher    :" ]] ; then
     echo YES
   else
     echo UNKNOWN RESPONSE
     echo $result
   fi
 fi
 sleep 1
 done
```

```sh
# client site的檢查
URL="https://yi-shiuan.github.io/"

DELAY=1
ciphers=$(openssl ciphers 'ALL:eNULL' | sed -e 's/:/ /g')

for cipher in ${ciphers[@]}
do
    printf -v pad %30s
    printf "Checking ${cipher:0:30} ... "
    curl -s -S -o /dev/null --no-progress-meter --tls-max 1.2 --ciphers $cipher $URL
    if [ $? -eq 0 ]; then
        echo OK
    fi
done
```

### 參考資料

[IISCrypto](https://www.nartac.com/Products/IISCrypto)

[叡揚資訊](https://www.gss.com.tw/blog/set-https-connect-protocols-and-ciphers)

[SSL Ciphers](https://curl.se/docs/ssl-ciphers.html)


最近公司資安檢查報告中被檢查出了一個關於SSL的加密連線的弱點，這個弱點是因為我們沒有把不安全的加密演算法關閉導致這個弱點的產生， 在公司的政策中線上的伺服器不能任意安裝任何程式，所以`IISCrypto`就只能放棄無法使用，所以我修改的部分是使用修改幾碼的方式進行， 由於我不太熟悉資安，修改後要如何驗證呢這些已知有問題的演算法是否已經正確的被關閉了呢？

弱點掃描-SSL加密演算法不安全的演算法


在網頁開發中，SSL憑證已經是一個不可或缺的一件事情！網路上可以找到許多免費的憑證使用，如[let's encrypt](https://letsencrypt.org/zh-tw/)、
[ZeroSSL](https://zerossl.com/)都可以幫你產生免費的憑證，唯一麻煩的事情是三個月就需要重新處理憑證問題，當然熟悉腳本處理的可以透過一些自動化的方式來處理只是需要花點時間撰寫這些腳本
在雲端供應商中AWS有提供ACM微軟也有提供類似於ACM的服務，只要你使用了這些雲端供應商就可以免費的為你產生憑證

## 設定方式

Azure 坦白說UI真的不是很直覺，這也是微軟一直以來的硬傷，這個設定其實藏在我們一直看得到的地方但又不會去點他的一個按鈕

再進入設定之前，必須要將自訂的domain綁在Azure app service上（或Azure functions）才能夠產生憑證，點下`Create App Service Managed Certificate`
後只需要點選你要的Domain 就可以產生了，整個過程約3-5分鐘左右，如果有多個子網域都需要SSL的話就多點幾次

![Azure 受管的 SSL](azure-managed-certificate-app-service/azure-managed-ssl.png)

![Azure 產生 SSL](azure-managed-certificate-app-service/create-ssl.png)

產生SSL憑證後需要到`TSL/SSL Setting`中，將剛才建立的SSL綁定到相對應的Domain name上就可以了

![Azure 綁定 SSL](azure-managed-certificate-app-service/azure-ssl-binding.png)

## 使用條件與限制

憑證一定位有到期日期，在微軟提供的憑證中有效期間是6個月，在六個月到期後會自動的幫你renew這個憑證直到你刪除app service或azure functions等服務，
必須要可以自訂domain name的規格才能夠產生免費的憑證(B1等級以上)

> 此免費憑證有下列限制：
>
>  - 不支援萬用字元憑證。
>  - 不支援以憑證指紋作為用戶端憑證的使用方式， (移除憑證指紋的) 計畫。
>  - 不可匯出。
>  - App Service 環境 (ASE) 上並不支援。
>  - 與流量管理員整合的根域不支援。
>  - 如果是 CNAME 對應網域的憑證，則 CNAME 必須直接對應至 {app-name}.azurewebsites.net 。
>
> [在 Azure App Service 中新增 TLS/SSL 憑證](https://docs.microsoft.com/zh-tw/azure/app-service/configure-ssl-certificate)


在網頁開發中，SSL憑證已經是一個不可或缺的一件事情！網路上可以找到許多免費的憑證使用，如let's encrypt、ZeroSSL 都可以幫你產生免費的憑證，唯一麻煩的事情是三個月就需要重新處理憑證問題，在雲端供應商中AWS有提供ACM微軟也有提供類似於ACM的服務， 只要你使用了這些雲端供應商就可以免費的為你產生憑證

弱點掃描-SSL加密演算法不安全的演算法

受Azure管理的免費憑證