2020年及以后的SSL證書優秀做法
SSL及其后續版本TLS是基于加密的互聯網安全協議,可為互聯網通信提供隱私、身份驗證和數據完整性,從而保護用戶免受竊聽、中間人攻擊和劫持攻擊。
但是,SSL證書的安全性狀態受到質疑-從協議中的缺陷到攻擊者在請求期間重定向網絡流量,再到證書頒發機構無法正確驗證域所有權。
盡管SSL / TLS證書的安全性正在不斷提高,但是網站所有者和用戶需要逐漸地意識到證書不能保證網站的可信賴性。不過,企業可以采取很多額外步驟來提高其證書和網站的安全性。
在本文中,我們將介紹SSL證書安全性的狀態、它們所面臨的漏洞以及確保其安全的SSL證書管理優秀實踐。
SSL證書安全性
現在,超過80%的互聯網流量都已加密。SSL Pulse提供15萬個已啟用SSL和TLS的網站的儀表板視圖,以顯示這些網站的SSL / TLS支持情況,這些網站來自Amazon Alexa的全球最受歡迎站點列表。SSL Pulse還提供深度視圖,以展示用戶連接到這些最繁忙站點時的安全情況。
在所列網站中,近100%的網站可很好地抵御BEAST、DROWN和ROBOT等攻擊,這些攻擊主要利用與SSL功能相關的各種協議中的漏洞。但對于Zombie POODLE、GOLDENDOODLE、Sleeping POODLE和0長度padding oracle攻擊,這個數據下降到95%以下。鑒于SSL Pulse的統計數據是針對世界上排名最高(且管理得最好)的網站,因此,從更廣闊的互聯網空間來看,易受攻擊的網站的總體百分比可能會高得多。
檢查版本和算法
當前SSL證書安全性的狀態的原因?很多站點易受攻擊的主要原因是配置錯誤的服務器。企業應例行檢查服務器的設置并掃描其SSL證書,以確保它們已正確安裝并使用推薦的協議和算法,尤其是對于面向互聯網的服務。
GlobalSign和Qualys CertView等免費服務可以掃描面向互聯網的證書并報告其安全性,并提供有關如何提高其安全等級的建議。很多證書配置等級可輕松被提高,例如通過禁用服務器上的SSL和TLS 1.0以及包含已知漏洞的所有加密算法。支持舊版本的SSL和TLS會使站點及其用戶容易遭受降級攻擊,這涉及黑客使用已知漏洞的舊協議版本強制連接到服務器。
主要瀏覽器已正式取消對TLS版本1.0和1.1的支持。雖然1.1和1.2版本沒有已知的漏洞,但是TLS 1.3應該是首選協議,可確保站點僅使用最強大的算法和密碼。TLS 1.3刪除了以前的TLS版本中的很多有問題的選項,并且僅包括對沒有已知漏洞的算法的支持。
檢查到期日期
SSL證書并不是“一勞永逸”的安全控制。它們具有到期日期并且可以被吊銷,因此必須采用SSL證書管理最佳實踐來跟蹤證書,并使安全團隊了解最新的情況—無論好壞。
由于其域所有權驗證方面存在漏洞,證書頒發機構Let’s Encrypt最近不得不吊銷超過300萬個TLS證書。域驗證是證書頒發機構用來確保證書申請人控制其域的過程。對于受證書吊銷影響的網站所有者(你可以點擊此處檢查Let’s Encrypt證書的狀態),如果不請求新證書,則會發現其吊銷的證書正在觸發瀏覽器和應用程序錯誤,從而導致連接失敗并會影響可用性-這可能會影響用戶的信心和品牌聲譽。
此外,自2020年9月1日起,Apple的Safari瀏覽器將不再信任有效期超過398天的證書,其他瀏覽器也可能會效仿。縮短有效期可縮短可以利用已感染或偽造證書的時間。因此,使用過期加密算法或協議的所有證書都需要盡快更換。
企業可使用NetScanTools的SSL證書掃描儀或XenArmor Network SSL Certificate Scanner等工具定期掃描證書,這可通過標記過期、即將到期或吊銷的證書來防止出現問題。
Let’s Encrypt正在進一步改進域驗證過程,以防止攻擊者在質詢請求或相關的DNS查詢期間劫持或重定向網絡流量,并欺騙證書頒發機構以不正確的方式頒發證書。普林斯頓大學的研究小組證明,通過使用邊界網關協議的不安全部署,這種攻擊可以取得成功。為防止這種情況的發生,Let’s Encrypt現在正從多個角度以及從其自己的數據中心驗證域,這意味著攻擊者需要同時成功破壞三個不同的網絡路徑。
擴展驗證證書
企業可以證明域所有權的另一種方法是通過購買擴展驗證(EV)SSL證書。與標準域證書相比,它們對身份驗證的要求更嚴格。但是,在利用有效EV證書指標保護用戶免受惡意網站侵害方面,網絡瀏覽器公司做法各有不同。例如,Microsoft Edge在地址欄中顯示帶有綠色鎖和公司名稱的EV證書,但是Google和Mozilla不再這樣做,并指出研究表明這些指標“不能再按預期保護用戶”。
令人擔憂的是,越來越多的網絡釣魚攻擊利用真實的SSL證書使其惡意網站具有合法性。我們沒有任何措施可以防止惡意IP地址獲得真實的SSL證書。不過,由于EV證書需要更嚴格的身份驗證,因此更少的用戶會淪為此類網絡釣魚攻擊的受害者。
