如何解決關(guān)鍵SSL安全問(wèn)題和漏洞

　　SSL(安全套接字層)逐漸被大家所重視，但是最不能忽視的也是SSL得漏洞，隨著SSL技術(shù)的發(fā)展，新的漏洞也就出現(xiàn)了，下面小編就為大家介紹簡(jiǎn)單七步教你如何解決關(guān)鍵SSL安全問(wèn)題和漏洞！

　　下面讓我們來(lái)了解這些SSL安全問(wèn)題以及可幫助信息安全專業(yè)人員解決這些問(wèn)題及安全部署SSL的七個(gè)步驟。

　　第一步：SSL證書

　　SSL證書是SSL安全的重要組成部分，并指示用戶網(wǎng)站是否可信。基于此，SSL必須是從可靠的證書頒發(fā)機(jī)構(gòu)(CA)獲取，而且CA的市場(chǎng)份額越大越好，因?yàn)檫@意味著證書被撤銷的幾率更低。企業(yè)不應(yīng)該依靠自簽名證書。企業(yè)最好選擇采用SHA-2散列算法的證書，因?yàn)槟壳斑@種算法還沒(méi)有已知漏洞。

　　擴(kuò)展驗(yàn)證(EV)證書提供了另一種方法來(lái)提高對(duì)網(wǎng)站安全的信任度。大多數(shù)瀏覽器會(huì)將具有EV證書的網(wǎng)站顯示為安全綠色網(wǎng)站，這為最終用戶提供了強(qiáng)烈的視覺(jué)線索，讓他們知道該網(wǎng)站可安全訪問(wèn)。

　　第二步：禁用過(guò)時(shí)的SSL版本

　　較舊版本的SSL協(xié)議是導(dǎo)致SSL安全問(wèn)題的主要因素。SSL 2.0早就遭受攻擊，并應(yīng)該被禁用。而因?yàn)镻OODLE攻擊的發(fā)現(xiàn)，SSL 3.0 現(xiàn)在也被視為遭受破壞，且不應(yīng)該被支持。Web服務(wù)器應(yīng)該配置為在第一個(gè)實(shí)例中使用TLSv1.2，這提供了最高的安全性�，F(xiàn)代瀏覽器都支持這個(gè)協(xié)議，運(yùn)行舊瀏覽器的用戶則可以啟用TLS 1.1和1.0支持。

　　第三步：禁用弱密碼

　　少于128位的密碼應(yīng)該被禁用，因?yàn)樗鼈儧](méi)有提供足夠的加密強(qiáng)度。這也將滿足禁用輸出密碼的要求。RC4密碼應(yīng)該被禁用，因?yàn)樗�存在漏洞容易受到攻擊�?/p>

　　理想情況下，web服務(wù)器應(yīng)該配置為優(yōu)先使用ECDHE密碼，啟用前向保密。該選項(xiàng)意味著，即使服務(wù)器的私鑰被攻破，攻擊者將無(wú)法解密先前攔截的通信。

　　第四步：禁用客戶端重新協(xié)商

　　重新協(xié)商允許客戶端和服務(wù)器阻止SSL交流以重新協(xié)商連接的參數(shù)�？蛻舳税l(fā)起的重新協(xié)商可能導(dǎo)致拒絕服務(wù)攻擊，這是嚴(yán)重的SSL安全問(wèn)題，因?yàn)檫@個(gè)過(guò)程需要服務(wù)器端更多的處理能力。

　　第五步：禁用TLS壓縮

　　CRIME攻擊通過(guò)利用壓縮過(guò)程中的漏洞，可解密部分安全連接。而禁用TLS壓縮可防止這種攻擊。另外要注意，HTTP壓縮可能被TIME和BREACH攻擊利用;然而，這些都是非常難以完成的攻擊。

　　第六步：禁用混合內(nèi)容

　　應(yīng)該在網(wǎng)站的所有區(qū)域啟用加密。任何混合內(nèi)容(即部分加密，部分未加密)都可能導(dǎo)致整個(gè)用戶會(huì)話遭攻擊。

　　第七步：安全cookie和HTTP嚴(yán)格傳輸安全(HSTS)

　　確保所有控制用戶會(huì)話的cookie都設(shè)置了安全屬性;這可防止cookie通過(guò)不安全的連接被暴力破解和攔截。與此類似，還應(yīng)該啟用HSTS以防止任何未加密連接。

【如何解決關(guān)鍵SSL安全問(wèn)題和漏洞】相關(guān)文章：

電腦關(guān)機(jī)沒(méi)反應(yīng)如何解決11-26

如何解決XP內(nèi)存讀寫錯(cuò)誤11-27

如何解決臺(tái)式電腦主板故障問(wèn)題08-03

如何區(qū)分complete和finish10-21

關(guān)于360自動(dòng)漏洞修復(fù)怎么關(guān)閉09-22

電腦漏洞修復(fù)失敗怎么辦？10-10

如何解決電腦音響有雜音問(wèn)題11-26

電腦鍵盤驅(qū)動(dòng)出問(wèn)題如何解決匯總03-22

如何查看電腦的cpu和內(nèi)存02-14

電腦的cpu和內(nèi)存如何查看10-13