七步解决关键SSL安全问题及漏洞

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

近年来,安全套接字层(SSL)技术已经有所改进,但同时也出现新的漏洞。本文中我们将探讨新的SSL安全形势以及新的安全问题。下面让我们来了解这些SSL安全问题以及可帮助信息安全专业人员解决这些问题及安全部署SSL的七个步骤。

第一步:SSL证书

SSL证书是SSL安全的重要组成部分,并指示用户网站是否可信。基于此,SSL必须是从可靠的证书颁发机构(CA)获取,而且CA的市场份额越大越好,因为这意味着证书被撤销的几率更低。企业不应该依靠自签名证书。企业最好选择采用SHA-2散列算法的证书,因为目前这种算法还没有已知漏洞。

扩展验证(EV)证书提供了另一种方法来提高对网站安全的信任度。大多数浏览器会将具有EV证书的网站显示为安全绿色网站,这为最终用户提供了强烈的视觉线索,让他们知道该网站可安全访问。

第二步:禁用过时的SSL版本

较旧版本的SSL协议是导致SSL安全问题的主要因素。SSL 2.0早就遭受攻击,并应该被禁用。而因为POODLE攻击的发现,SSL 3.0 现在也被视为遭受破坏,且不应该被支持。Web服务器应该配置为在第一个实例中使用TLSv1.2,这提供了最高的安全性。现代浏览器都支持这个协议,运行旧浏览器的用户则可以启用TLS 1.1和1.0支持。

第三步:禁用弱密码

少于128位的密码应该被禁用,因为它们没有提供足够的加密强度。这也将满足禁用输出密码的要求。RC4密码应该被禁用,因为它存在漏洞容易受到攻击。

理想情况下,web服务器应该配置为优先使用ECDHE密码,启用前向保密。该选项意味着,即使服务器的私钥被攻破,攻击者将无法解密先前拦截的通信。

第四步:禁用客户端重新协商

重新协商允许客户端和服务器阻止SSL交流以重新协商连接的参数。客户端发起的重新协商可能导致拒绝服务攻击,这是严重的SSL安全问题,因为这个过程需要服务器端更多的处理能力。

第五步:禁用TLS压缩

CRIME攻击通过利用压缩过程中的漏洞,可解密部分安全连接。而禁用TLS压缩可防止这种攻击。另外要注意,HTTP压缩可能被TIME和BREACH攻击利用;然而,这些都是非常难以完成的攻击。

第六步:禁用混合内容

应该在网站的所有区域启用加密。任何混合内容(即部分加密,部分未加密)都可能导致整个用户会话遭攻击。

第七步:安全cookie和HTTP严格传输安全(HSTS)

确保所有控制用户会话的cookie都设置了安全属性;这可防止cookie通过不安全的连接被暴力破解和拦截。与此类似,还应该启用HSTS以防止任何未加密连接。

按照这些步骤的话,SSL部署会很安全。但请注意,处理S


作者:Rob Shapland

来源:51CTO

相关文章
|
6月前
|
安全 网络安全
如何给网站添加ssl安全证书
如何给网站添加ssl安全证书
|
7月前
|
安全 搜索推荐 数据建模
解决网站“不安全”、“不受信”、“排名下降”,你需要——「SSL证书」
SSL证书是网络安全的关键,用于加密和验证网站身份,保护用户数据安全,防止信息被窃取。它分为DV、OV、EV和IV四种类型,每种验证网站身份的程度不同。DV证书快速签发,OV和EV证书提供更高级别的身份验证,EV证书曾在浏览器地址栏显示绿色。目前,DV证书占据市场大部分份额。SSL证书还有单域、通配符和多域之分,有效期曾从多年逐渐缩短至90天,以增强安全性。部署SSL证书能提升用户信任,优化SEO排名,并符合网络安全法规要求。
解决网站“不安全”、“不受信”、“排名下降”,你需要——「SSL证书」
|
7天前
|
安全 应用服务中间件 网络安全
实战经验分享:利用免费SSL证书构建安全可靠的Web应用
本文分享了利用免费SSL证书构建安全Web应用的实战经验,涵盖选择合适的证书颁发机构、申请与获取证书、配置Web服务器、优化安全性及实际案例。帮助开发者提升应用安全性,增强用户信任。
|
4月前
|
SQL 安全 Java
驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误:“The server selected protocol version TLS10 is not accepted by client
驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误:“The server selected protocol version TLS10 is not accepted by client
530 0
|
5月前
|
安全 网络协议 网络安全
SSL(Secure Sockets Layer)是一种安全协议,用于在客户端和服务器之间建立加密的通信通道。
SSL(Secure Sockets Layer)是一种安全协议,用于在客户端和服务器之间建立加密的通信通道。
|
6月前
|
网络安全 安全 Java
Java一分钟之-SSL/TLS:安全套接字层与传输层安全
【6月更文挑战第2天】本文介绍了SSL/TLS协议在保护数据传输中的作用,以及Java中使用JSSE实现SSL/TLS的基础。内容涵盖SSL/TLS工作流程、版本、常见问题及解决办法。通过`SSLSocket`和`SSLServerSocket`示例展示了服务器和客户端的实现,并强调证书管理、配置检查和依赖更新的最佳实践,以确保安全的通信。
708 4
|
7月前
|
安全 算法 应用服务中间件
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 【可验证】 详细描述TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。
3901 2
|
7月前
|
SQL 安全 网络安全
IDEA DataGrip连接sqlserver 提示驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接的解决方法
IDEA DataGrip连接sqlserver 提示驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接的解决方法
727 0
|
7月前
|
安全 Linux 网络安全
Qt SSL/TLS 安全通信类:构建安全网络应用的关键组件
Qt SSL/TLS 安全通信类:构建安全网络应用的关键组件
268 0
|
7月前
|
安全 网络安全 数据安全/隐私保护