七步解决关键SSL安全问题及漏洞

近年来，安全套接字层(SSL)技术已经有所改进，但同时也出现新的漏洞。本文中我们将探讨新的SSL安全形势以及新的安全问题。下面让我们来了解这些SSL安全问题以及可帮助信息安全专业人员解决这些问题及安全部署SSL的七个步骤。

第一步：SSL证书

SSL证书是SSL安全的重要组成部分，并指示用户网站是否可信。基于此，SSL必须是从可靠的证书颁发机构(CA)获取，而且CA的市场份额越大越好，因为这意味着证书被撤销的几率更低。企业不应该依靠自签名证书。企业最好选择采用SHA-2散列算法的证书，因为目前这种算法还没有已知漏洞。

扩展验证(EV)证书提供了另一种方法来提高对网站安全的信任度。大多数浏览器会将具有EV证书的网站显示为安全绿色网站，这为最终用户提供了强烈的视觉线索，让他们知道该网站可安全访问。

第二步：禁用过时的SSL版本

较旧版本的SSL协议是导致SSL安全问题的主要因素。SSL 2.0早就遭受攻击，并应该被禁用。而因为POODLE攻击的发现，SSL 3.0 现在也被视为遭受破坏，且不应该被支持。Web服务器应该配置为在第一个实例中使用TLSv1.2，这提供了最高的安全性。现代浏览器都支持这个协议，运行旧浏览器的用户则可以启用TLS 1.1和1.0支持。

第三步：禁用弱密码

少于128位的密码应该被禁用，因为它们没有提供足够的加密强度。这也将满足禁用输出密码的要求。RC4密码应该被禁用，因为它存在漏洞容易受到攻击。

理想情况下，web服务器应该配置为优先使用ECDHE密码，启用前向保密。该选项意味着，即使服务器的私钥被攻破，攻击者将无法解密先前拦截的通信。

第四步：禁用客户端重新协商

重新协商允许客户端和服务器阻止SSL交流以重新协商连接的参数。客户端发起的重新协商可能导致拒绝服务攻击，这是严重的SSL安全问题，因为这个过程需要服务器端更多的处理能力。

第五步：禁用TLS压缩

CRIME攻击通过利用压缩过程中的漏洞，可解密部分安全连接。而禁用TLS压缩可防止这种攻击。另外要注意，HTTP压缩可能被TIME和BREACH攻击利用;然而，这些都是非常难以完成的攻击。

第六步：禁用混合内容

应该在网站的所有区域启用加密。任何混合内容(即部分加密，部分未加密)都可能导致整个用户会话遭攻击。

第七步：安全cookie和HTTP严格传输安全(HSTS)

确保所有控制用户会话的cookie都设置了安全属性;这可防止cookie通过不安全的连接被暴力破解和拦截。与此类似，还应该启用HSTS以防止任何未加密连接。

按照这些步骤的话，SSL部署会很安全。但请注意，处理S

作者：Rob Shapland

来源：51CTO

SSL TSL 协议中高危漏洞处理方法 SSL/TSL协议存在高危漏洞(CVE-2013-2566、CVE-2015-2808)，这是由于远程桌面采用了ssl加密漏洞造成了，解决办法就是关闭远程桌面的ssl加密算法。
如何用SSL减少网站不必要的漏洞 文档实现 确保您正确管理SSL/TLS证书 使用最新网站技术 通过良好的管理保证网站安全 您可以假设说不定什么时候，您的网站就会遭受攻击。攻击后果的严重性取决您的准备情况。技术管理不当必然会导致漏洞。
9月21日布宜诺斯艾利斯举行的Ekoparty安全会议上，安全研究人员Thai Duong和Juliano Rizzo将演示针对SSL/TLS的概念验证攻击。 研究人员在SSL/TLS协议中发现了严重弱点，能让黑客悄悄破译Web服务器和终端用户浏览器之间传输的加密数据。
云栖大讲堂 擅长前端领域，欢迎各位热爱前端的朋友加入我们（ 钉钉群号：23351485）关注【前端那些事儿】云栖号，更多好文持续更新中！