文章內(nèi)容

安全部署和配置SSL 避免SSL漏洞

發(fā)布時(shí)間: 2012/5/28 14:05:36

自1994年由Netscape開(kāi)發(fā)以來(lái)，安全套接字層（SSL）一直不斷受到攻擊。X.509公鑰基礎(chǔ)設(shè)施的安全和完整性最近也出現(xiàn)很多問(wèn)題。盡管有很多關(guān)于SSL安全的警告，如果正確部署和配置的話，SSL仍然能夠用于保護(hù)不安全網(wǎng)絡(luò)間的數(shù)據(jù)傳輸。在本文中，我們將討論SSL漏洞對(duì)企業(yè)構(gòu)成的威脅程度，并提供了安全部署和配置SSL的方法。

　　SSL安全問(wèn)題

　　由于大家越來(lái)越多地依賴于SSL來(lái)保護(hù)通信，現(xiàn)在不安全地使用SSL對(duì)企業(yè)和用戶造成的威脅要比兩年前更大。最近的攻擊有Comodo和DigiNotar證書機(jī)構(gòu)遭遇的中間人攻擊，以及PKI證書頒發(fā)機(jī)構(gòu)（CA）發(fā)布假冒中間CA或者服務(wù)器證書（可以用于攻擊SSL連接）等其他攻擊。這些證書甚至可以由企業(yè)用來(lái)監(jiān)控他們自己網(wǎng)絡(luò)中的通信。

　　更大的問(wèn)題是，SSL并不提供web應(yīng)用程序或系統(tǒng)需要保護(hù)數(shù)據(jù)或系統(tǒng)的功能，SSL只是為通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)提供了強(qiáng)大的保護(hù)，并且加密技術(shù)可以在很多其他地方保護(hù)數(shù)據(jù)。如果SSL或者加密部署不安全或者系統(tǒng)不安全，用來(lái)保護(hù)系統(tǒng)的加密算法將失去意義。

　　除了SSL核心加密技術(shù)和密鑰交換方法中存在的問(wèn)題，更多安全問(wèn)題出現(xiàn)在企業(yè)SSL部署中，這些問(wèn)題包括使用弱加密技術(shù)，以及為不同的主機(jī)名使用相同的證書。

　　抵御SSL漏洞

　　當(dāng)在SSL中發(fā)現(xiàn)漏洞時(shí)，企業(yè)應(yīng)及時(shí)更新補(bǔ)丁，確保大部分程序的修復(fù)和保護(hù)與其他軟件一樣。由于SSL的復(fù)雜性以及支持SSL的設(shè)備的種類多樣，這可能是一項(xiàng)艱巨的任務(wù)，如果修復(fù)程序不能向后兼容的話，修復(fù)工作將花費(fèi)很多時(shí)間和精力。像其他任何補(bǔ)丁修復(fù)一樣，SSL的補(bǔ)丁必須進(jìn)行完全的測(cè)試以確保它不會(huì)破壞任何功能。測(cè)試系統(tǒng)可能還需要連接到補(bǔ)丁系統(tǒng)以確保它們?nèi)匀荒軌蜻B接。

　　為了防范SSL漏洞，企業(yè)可以從三個(gè)方面采取適當(dāng)保護(hù)措施：用戶、客戶和服務(wù)。企業(yè)可以通過(guò)安裝強(qiáng)制使用SSL的瀏覽器插件來(lái)保護(hù)用戶，這方面的工具包括電子前沿基金會(huì)的FireFox插件（被稱為HTTPS Everywhere），該插件將在SSL可用的情況下強(qiáng)制使用SSL。還有Convergence，該工具可以更好的控制受瀏覽器信任的CA。企業(yè)還應(yīng)該對(duì)用戶進(jìn)行安全意識(shí)培訓(xùn)，以確保他們總是使用安全的連接。用戶不必對(duì)如何保護(hù)其連接做出復(fù)雜的技術(shù)性的決定，但他們應(yīng)該要了解使用安全連接的重要性。這些保護(hù)方法也同樣適用于企業(yè)的客戶，但企業(yè)只能提供安全連接服務(wù)來(lái)幫助他們鞏固良好的連接習(xí)慣。

　　企業(yè)還應(yīng)該確保老舊的不太安全的SSL部署已經(jīng)停用，以抵御降級(jí)攻擊，在這種攻擊中，客戶端系統(tǒng)被誘使使用不安全的連接。IETF（互聯(lián)網(wǎng)工程任務(wù)組）一直致力于改進(jìn)SSL以提高SSL系統(tǒng)的安全狀態(tài)。
　　結(jié)語(yǔ)
　　如果正確部署和配置的話，SSL仍然能夠很好地保護(hù)數(shù)據(jù)傳輸，然而，現(xiàn)在更廣為人知的是，不安全地使用SSL帶來(lái)的風(fēng)險(xiǎn)以及漏洞問(wèn)題。
核心加密技術(shù)和密鑰交換方法是發(fā)現(xiàn)新攻擊形式和改善工作的核心，不過(guò)部署過(guò)程仍然在更大程度上決定著SSL的安全性。終端用戶可能永遠(yuǎn)不會(huì)注意到這些改進(jìn)，但企業(yè)、服務(wù)器運(yùn)營(yíng)商和軟件開(kāi)發(fā)商必須實(shí)施這些改進(jìn)和升級(jí)。在過(guò)去兩年中，人們才逐漸意識(shí)到SSL的重要性。越來(lái)越多的用戶開(kāi)始使用不同的網(wǎng)絡(luò)或者設(shè)備來(lái)訪問(wèn)社交網(wǎng)絡(luò)以及互聯(lián)網(wǎng)，然而，無(wú)論他們選擇什么方式，他們?nèi)匀幌Ｍㄟ^(guò)加密連接來(lái)保護(hù)他們使用互聯(lián)網(wǎng)
本文出自：億恩科技【www.allwellnessguide.com】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]

上一篇 >> 從交換機(jī)開(kāi)始鞏固存儲(chǔ)安全
下一篇 >> 未來(lái)趨勢(shì)：刀片網(wǎng)絡(luò) 存儲(chǔ)三者統(tǒng)一

亚洲Aⅴ无码Av红楼在线观看_国产午夜福利涩爱AⅤ_国产sm调教一区二区三区_精品人妻一区二区三区不卡毛片

服務(wù)器租用

服務(wù)器托管

機(jī)柜批發(fā)

云服務(wù)器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內(nèi)容

安全部署和配置SSL 避免SSL漏洞

同類文章

億恩公告

在線客服