SSL安全:九大技巧保護企業網絡
SSL安全錯誤解決技巧如下所述:
1、禁用對SSLv2的支持。
該版本的SSL協議在15多年前就被證明是不安全的,但如今有許多Web服務器仍在使用它。禁用此協議用了不多少時間。例如,在Apache v2中,你需要對默認為配置進行改變:
將:SSLProtocol all
變為:SSLProtocol all -SSLv2
2、禁用對弱加密的支持。
幾乎所有的Web服務器都支持強加密算法(128位)或極強的加密算法(256位),但許多服務器還在支持弱加密,黑客們會利用這個漏洞來損害企業網絡安全。我們沒有理由支持弱加密,只需用很短的時間來配置服務器就可以禁用弱加密:
SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW
3、確保你的服務器不支持不安全的重新會話。
SSL和TLS認證中的漏洞可以使中間人攻擊利用重新會話,將任意內容插入到加密的數據流中。如今,多數主要的廠商都為此漏洞發布了補丁,所以如果你還沒有打補丁,就必須實施安全的重新會話,或者至少禁用不安全的重新會話(對網站作出任何必要的改變)。
4、確保所有的認證階段都通過SSL進行。
保護用戶憑證至關重要,而這意味著在用戶提交表單時,你需要通過SSL連接發送用戶登錄的表單,并且借助SSL來保護其憑證。否則,就有可能被黑客截獲表單,并用一個別有用心的不安全表單來替換之,進而將用戶的憑證發送到黑客自己的服務器上。
5、不要在網頁上將SSL保護的內容與明文混在一起。
將二者混在一起會導致網站遭受損害,因為一個不受保護的源(如JavaScript)可被用于注入惡意代碼,或導致中間人攻擊。
6、使用HSTS協議來保護域名(包括子域)。
在用HSTS保護網站時,在初次訪問后,到網站的所有鏈接都會自動地從HTTP轉換為HTTPS,而且訪問者無法再次訪問網站,除非它擁有一個合法的、并非自已簽名的數字證書。這意味著黑客們無法將用戶重向到釣魚網站(黑客通過一個不安全的鏈接來控制此網站或竊取不安全的會話cookies)。
必須只能通過HTTPS的應答來發送嚴格傳輸安全(STS)的報頭,并且只需簡單的幾行就可以搞定其配置。對于Apache而言,可以這樣操作:
Header set Strict-Transport-Security "max-age=XXXXXX"
Header append Strict-Transport-Security includeSubDomains
7、使用HttpOnly 和Secure標記來保護cookies
用于認證的cookies在SSL會話期間可被用于損害會話的SSL安全性。HttpOnly標記可以使你發布的cookies對客戶端腳本不可見,所以客戶端無法通過跨站腳本攻擊漏洞來竊取cookies,而Secure標記意味著,只能通過一個加密的SSL連接來傳輸cookies,因而cookies無法被截獲。
為了配置你的web服務器,使其能夠通過HttpOnly 和Secure屬性來發布cookies從而防護這兩種攻擊,你只需要簡單地增加將; Secure ; HttpOnly添加到Set Cookie Http響應報頭中:
- Set-Cookie: =; =
- ; expires=; domain=
- ; secure; HttpOnly
8、使用擴展驗證(EV)的數字證書。
雖然對于網站的安全并非生死攸關,但擴展驗證證書卻可以在多數瀏覽器的地址欄中得到清晰的證實,即訪問者擁有了一個到達網站的安全的SSL連接。只有在認證授權采取了嚴格的措施來確認你的身份后,并且是你控制著發布證書的域名時,才會發布擴展驗證證書。
9、確保你的數字證書包括子域
為避免訪問者收到數字證書錯誤,一定要保證你的SSL證書覆蓋https://www.貴站域名.com和https://貴站域名.com這兩個URL。你可以使用一個多域的SSL證書來實現此功能,這種證書通常會允許你指定多達三個主題選擇名稱(即SAN),如貴站域名.com或者www.貴站域名.com
SSL錯誤的九個解決方法就呈現給了大家,這些技巧是比較實用的,大家掌握后就不在為此類錯誤而苦惱和迷惑了。
【編輯推薦】
