SSL(安全套接字層)廣泛地用於Web瀏覽器與服務器之間的身份認證和加密資料傳輸,以保障在Internet上資料傳輸之安全。以下是小編為大家搜尋整理的如何解決關鍵SSL安全問題和漏洞,希望能給大家帶來幫助!更多精彩內容請及時關注我們應屆畢業生考試網!
第一步:SSL證書
SSL證書是SSL安全的重要組成部分,並指示使用者網站是否可信。基於此,SSL必須是從可靠的證書頒發機構(CA)獲取,而且CA的市場份額越大越好,因為這意味著證書被撤銷的機率更低。企業不應該依靠自簽名證書。企業最好選擇採用SHA-2雜湊演算法的證書,因為目前這種演算法還沒有已知漏洞。
擴充套件驗證(EV)證書提供了另一種方法來提高對網站安全的信任度。大多數瀏覽器會將具有EV證書的網站顯示為安全綠色網站,這為終端使用者提供了強烈的視覺線索,讓他們知道該網站可安全訪問。
第二步:禁用過時的'SSL版本
較舊版本的SSL協議是導致SSL安全問題的主要因素。SSL 2.0早就遭受攻擊,並應該被禁用。而因為POODLE攻擊的發現,SSL 3.0 現在也被視為遭受破壞,且不應該被支援。Web伺服器應該配置為在第一個例項中使用TLSv1.2,這提供了最高的安全性。現代瀏覽器都支援這個協議,執行舊瀏覽器的使用者則可以啟用TLS 1.1和1.0支援。
第三步:禁用弱密碼
少於128位的密碼應該被禁用,因為它們沒有提供足夠的加密強度。這也將滿足禁用輸出密碼的要求。RC4密碼應該被禁用,因為它存在漏洞容易受到攻擊。
理想情況下,web伺服器應該配置為優先使用ECDHE密碼,啟用前向保密。該選項意味著,即使伺服器的私鑰被攻破,攻擊者將無法解密先前攔截的通訊。
第四步:禁用客戶端重新協商
重新協商允許客戶端和伺服器阻止SSL交流以重新協商連線的引數。客戶端發起的重新協商可能導致拒絕服務攻擊,這是嚴重的SSL安全問題,因為這個過程需要伺服器端更多的處理能力。
第五步:禁用TLS壓縮
CRIME攻擊通過利用壓縮過程中的漏洞,可解密部分安全連線。而禁用TLS壓縮可防止這種攻擊。另外要注意,HTTP壓縮可能被TIME和BREACH攻擊利用;然而,這些都是非常難以完成的攻擊。
第六步:禁用混合內容
應該在網站的所有區域啟用加密。任何混合內容(即部分加密,部分未加密)都可能導致整個使用者會話遭攻擊。
第七步:安全cookie和HTTP嚴格傳輸安全(HSTS)
確保所有控制使用者會話的cookie都設定了安全屬性;這可防止cookie通過不安全的連線被暴力破解和攔截。與此類似,還應該啟用HSTS以防止任何未加密連線。
