七步解決關(guān)鍵SSL安全問題及漏洞

責(zé)任編輯:editor005

作者:Rob Shapland

2016-08-19 14:22:22

摘自:TechTarget中國

近年來,安全套接字層(SSL)技術(shù)已經(jīng)有所改進,但同時也出現(xiàn)新的漏洞。但請注意,處理SSL安全問題只是網(wǎng)站安全的一部分,應(yīng)該執(zhí)行定期漏洞掃描和滲透測試,以確保網(wǎng)站其他地方的漏洞不會影響安全性。

七步解決關(guān)鍵SSL安全問題及漏洞

近年來,安全套接字層(SSL)技術(shù)已經(jīng)有所改進,但同時也出現(xiàn)新的漏洞。本文中我們將探討新的SSL安全形勢以及新的安全問題。下面讓我們來了解這些SSL安全問題以及可幫助信息安全專業(yè)人員解決這些問題及安全部署SSL的七個步驟。

第一步:SSL證書

SSL證書是SSL安全的重要組成部分,并指示用戶網(wǎng)站是否可信。基于此,SSL必須是從可靠的證書頒發(fā)機構(gòu)(CA)獲取,而且CA的市場份額越大越好,因為這意味著證書被撤銷的幾率更低。企業(yè)不應(yīng)該依靠自簽名證書。企業(yè)最好選擇采用SHA-2散列算法的證書,因為目前這種算法還沒有已知漏洞。 擴展驗證(EV)證書提供了另一種方法來提高對網(wǎng)站安全的信任度。大多數(shù)瀏覽器會將具有EV證書的網(wǎng)站顯示為安全綠色網(wǎng)站,這為最終用戶提供了強烈的視覺線索,讓他們知道該網(wǎng)站可安全訪問。

第二步:禁用過時的SSL版本

較舊版本的SSL協(xié)議是導(dǎo)致SSL安全問題的主要因素。SSL 2.0早就遭受攻擊,并應(yīng)該被禁用。而因為POODLE攻擊的發(fā)現(xiàn),SSL 3.0 現(xiàn)在也被視為遭受破壞,且不應(yīng)該被支持。Web服務(wù)器應(yīng)該配置為在第一個實例中使用TLSv1.2,這提供了最高的安全性?,F(xiàn)代瀏覽器都支持這個協(xié)議,運行舊瀏覽器的用戶則可以啟用TLS 1.1和1.0支持。

第三步:禁用弱密碼

少于128位的密碼應(yīng)該被禁用,因為它們沒有提供足夠的加密強度。這也將滿足禁用輸出密碼的要求。RC4密碼應(yīng)該被禁用,因為它存在漏洞容易受到攻擊。 理想情況下,web服務(wù)器應(yīng)該配置為優(yōu)先使用ECDHE密碼,啟用前向保密。該選項意味著,即使服務(wù)器的私鑰被攻破,攻擊者將無法解密先前攔截的通信。

第四步:禁用客戶端重新協(xié)商

重新協(xié)商允許客戶端和服務(wù)器阻止SSL交流以重新協(xié)商連接的參數(shù)??蛻舳税l(fā)起的重新協(xié)商可能導(dǎo)致拒絕服務(wù)攻擊,這是嚴重的SSL安全問題,因為這個過程需要服務(wù)器端更多的處理能力。

第五步:禁用TLS壓縮

CRIME攻擊通過利用壓縮過程中的漏洞,可解密部分安全連接。而禁用TLS壓縮可防止這種攻擊。另外要注意,HTTP壓縮可能被TIME和BREACH攻擊利用;然而,這些都是非常難以完成的攻擊。

第六步:禁用混合內(nèi)容

應(yīng)該在網(wǎng)站的所有區(qū)域啟用加密。任何混合內(nèi)容(即部分加密,部分未加密)都可能導(dǎo)致整個用戶會話遭攻擊。

第七步:安全cookie和HTTP嚴格傳輸安全(HSTS)

確保所有控制用戶會話的cookie都設(shè)置了安全屬性;這可防止cookie通過不安全的連接被暴力破解和攔截。與此類似,還應(yīng)該啟用HSTS以防止任何未加密連接。 按照這些步驟的話,SSL部署會很安全。但請注意,處理SSL安全問題只是網(wǎng)站安全的一部分,應(yīng)該執(zhí)行定期漏洞掃描和滲透測試,以確保網(wǎng)站其他地方的漏洞不會影響安全性。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號