簡單七步教你如何解決關鍵SSL安全問題和漏洞

下面讓我們來了解這些SSL安全問題以及可幫助信息安全專業(yè)人員解決這些問題及安全部署SSL的七個步驟。
第一步:SSL證書
SSL證書是SSL安全的重要組成部分,并指示用戶網(wǎng)站是否可信。基于此,SSL必須是從可靠的證書頒發(fā)機構(CA)獲取,而且CA的市場份額越大越好,因為這意味著證書被撤銷的幾率更低。企業(yè)不應該依靠自簽名證書。企業(yè)最好選擇采用SHA-2散列算法的證書,因為目前這種算法還沒有已知漏洞。
擴展驗證(EV)證書提供了另一種方法來提高對網(wǎng)站安全的信任度。大多數(shù)瀏覽器會將具有EV證書的網(wǎng)站顯示為安全綠色網(wǎng)站,這為最終用戶提供了強烈的視覺線索,讓他們知道該網(wǎng)站可安全訪問。
第二步:禁用過時的SSL版本
較舊版本的SSL協(xié)議是導致SSL安全問題的主要因素。SSL 2.0早就遭受攻擊,并應該被禁用。而因為POODLE攻擊的發(fā)現(xiàn),SSL 3.0 現(xiàn)在也被視為遭受破壞,且不應該被支持。Web服務器應該配置為在第一個實例中使用TLSv1.2,這提供了最高的安全性。現(xiàn)代瀏覽器都支持這個協(xié)議,運行舊瀏覽器的用戶則可以啟用TLS 1.1和1.0支持。
第三步:禁用弱密碼
少于128位的密碼應該被禁用,因為它們沒有提供足夠的加密強度。這也將滿足禁用輸出密碼的要求。RC4密碼應該被禁用,因為它存在漏洞容易受到攻擊。
理想情況下,web服務器應該配置為優(yōu)先使用ECDHE密碼,啟用前向保密。該選項意味著,即使服務器的私鑰被攻破,攻擊者將無法解密先前攔截的通信。
第四步:禁用客戶端重新協(xié)商
重新協(xié)商允許客戶端和服務器阻止SSL交流以重新協(xié)商連接的參數(shù)。客戶端發(fā)起的重新協(xié)商可能導致拒絕服務攻擊,這是嚴重的SSL安全問題,因為這個過程需要服務器端更多的處理能力。
第五步:禁用TLS壓縮
CRIME攻擊通過利用壓縮過程中的漏洞,可解密部分安全連接。而禁用TLS壓縮可防止這種攻擊。另外要注意,HTTP壓縮可能被TIME和BREACH攻擊利用;然而,這些都是非常難以完成的攻擊。
第六步:禁用混合內(nèi)容
應該在網(wǎng)站的所有區(qū)域啟用加密。任何混合內(nèi)容(即部分加密,部分未加密)都可能導致整個用戶會話遭攻擊。
第七步:安全cookie和HTTP嚴格傳輸安全(HSTS)
確保所有控制用戶會話的cookie都設置了安全屬性;這可防止cookie通過不安全的連接被暴力破解和攔截。與此類似,還應該啟用HSTS以防止任何未加密連接。
按照這些步驟的話,SSL部署會很安全。但請注意,處理S,想了解更多精彩教程請繼續(xù)關注腳本之家網(wǎng)站!
相關文章
手把手教你如何構造Office漏洞POC(以CVE-2012-0158為例)
近年來APT追蹤盛行,最常見的就是各種以釣魚開始的攻擊,不僅僅有網(wǎng)站掛馬式釣魚,也有魚叉式郵件釣魚,下面小編就為大家介紹office漏洞CVE-2012-0158,一起來看看吧2016-09-28- 偶爾在網(wǎng)上看到這些,拿來和大家一塊看看,也好讓各個站長懂得保護自己的網(wǎng)站2012-10-16
- Ewebeditor編輯器目前分為asp,aspx,php,jsp四種程序,各類ewebeditor版本很多,功能強大頗收使用者喜愛,在國內(nèi)使用極為廣泛。2010-05-13
eWebEditor 6.2 目錄遍歷漏洞(asp/browse.asp)
最新eWebEditor 6.2版本存在目錄遍歷漏洞,漏洞頁面asp/browse.asp,可通過漏洞遍里特定目錄下的所有文件列表.2010-05-13- 以下是search.inc.php 文件漏洞利用代碼VBS版 [code] Dim strUrl,strSite,strPath,strUid showB() Set Args = Wscript.Arguments If Args.Count <> 3 Then Sho2009-04-18
- 最新dedecms 5.6的注入代碼: http://www.dedecms.com/plus/rss.php?tid=1&_Cs[][1]=1&_Cs[2%29%29%20AND%20%22%27%22%20AND%20updatexml%281,%28SELECT%22011-03-11
查找Centos Linux服務器上入侵者的WebShell后門
服務器被掛馬或被黑的朋友應該知道,黑客入侵web服務器的第一目標是往服務器上上傳一個webshell,有了webshell黑客就可以干更多的事 情2012-07-10- 影響2.5.x和2.6.x,其他版本未測試 goods_script.php 44行: [code] if (empty($_GET['type'])) { ... } elseif ($_GET['type'] == 'collection') { ... } $sql2009-04-18
- 漏洞無處不在,它是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)2016-09-29