テストはこちら: https://www.ssllabs.com/ssltestここ で Heroku の成績を確認できます: https://www.ssllabs.com/ssltest/analyze.html?d=heroku.com。サーバーごとに「B」と「A」が混在しています。
私のサイトはwww.wealthhypockets.comです。ここでテスト結果を確認できます: https://www.ssllabs.com/ssltest/analyze.html?d=www.wealthhypockets.com -- しっかりした「B」。
これは 2 つの部分からなる質問です。
1) これで「A」を取得しないことを心配する必要がありますか? 特に「BEAST」攻撃と DOS の可能性については?
2) スコアを上げるためにできることはありますか? それとも、Heroku が改善するのを待つということでしょうか?
2 つの部分に別々に答える:
1) 要件が公開されていないように見えるため、これについて A を取得しないことを心配する必要があるかどうかを言うのは非常に困難です。
BEAST 攻撃は、SSLv3 と TLSv1.0 の脆弱性を利用した興味深い、やや複雑ですが効果的な攻撃です。攻撃者は、ユーザーのブラウザにスクリプトをインストールし、SSL 接続を介して既知のデータを送信できる必要があります。また、攻撃者は接続を傍受できる必要があり、その結果、次のデータの一部を解読できます。これは TLSv1.1 以降で修正されており、多くのブラウザーは、同じチャネルを介してすべての要求を特定のサーバーに送信しないことで、BEAST 攻撃に対する保護を追加しています。
2) heroku.com とあなたのウェブサイトの両方のグレードを確認したところ、完全な A のようです。証明書のインストールを除いて、Heroku SSL パラメータの調整方法に関する情報は見つかりませんでした。あなたがコントロールできるもの。SSL 攻撃の多くは理論的なものであり、BEAST は断然最悪です (おそらく再ネゴシエーション攻撃がありますが、ほとんどがサーバー側にパッチが適用されています)。あなたの Web サイトは非常に単純で、攻撃者がコンテンツを編集する方法がないように見えるため、BEAST 攻撃は可能ではありません。ただし、Heroku が TLSv1.0 ではなく TLSv1.1 を優先するのであればよいでしょう。