dcsimg

保护SSL抵御当今的威胁

各种威胁—包括NSA监视—危害当今的SSL安全性。了解现在和在可预见的将来如何减轻风险并保护会话的隐私。

 By 保罗·鲁本斯
第页  |  返回第1页

野兽,犯罪,破坏,幸运13:在过去的两年中,我们看到了对安全套接字层(SSL)/传输层安全性(TLS)提供的安全性的无休止的攻击。

尽管这些攻击在大多数情况下构成的风险相当有限,但对于负责提供SSL或TLS(取代它的协议)的服务器的任何人,确实会使人们感到不舒服。

这是管理员面临的困境之一。的 野兽攻击 暴露了密码块链接(CBC)的弱点,从而使坚定的攻击者可以破坏TLS 1.0的安全性。

为了减轻风险,建议管理员重新配置其服务器,以便在TLS会话期间使用的首选密码套件为RC4。那是因为RC4不使用CBC。现在,约有50%的TLS会话使用RC4, 根据SSL Labs.

迄今为止,大多数浏览器—apart from Safari–已更新,以缓解Beast攻击,尽管仍在使用较旧的浏览器。

但这是问题所在:早在今年三月,一组研究人员就发现 RC4的弱点 以及利用它的理论方法。

那么是否应该重新配置服务器,以支持使用CBC而不是RC4的密码套件?

安全专家Qualys的SSL专家和工程总监Ivan Ristic说:“我们终于宣布在客户端减轻了Beast的负担,因此不再需要减轻服务器端的负担。”他总结说,由于目前尚无针对RC4漏洞的缓解措施,因此管理员应重新开始使用CBC套件而不是RC4。

但是,实际上,有一个更好的解决方案,那就是支持 Galois / CounterMode(GCM) 尚未发现任何漏洞的密码。但是,这又是一个问题。仅在最新版本的TLS(TLS 1.2)中实际可用GCM密码。 Ristic解释说:“将GCM密码添加到旧版本的SSL或TLS中根本不切实际。”

为什么服务器管理员不只是升级到最新版本?答案是,这并不是一件容易的事,事实证明,尽管TLS 1.2规范于2008年发布,但目前运行它的服务器不到18%。 SSL实验室。升级到它通常意味着升级基础服务器操作系统,这是大多数组织按计划进行的工作,而不是响应于对其网络事务安全性的主要理论风险。

离开RC4有多紧急? Ristic说:“如果您不能使用GCM,那就没关系了,因为RC4和Beast同样不太可能被利用。”他补充说:“目前,任何CBC套件都可能还不错。”

犯罪与破坏袭击又如何呢?在更新的浏览器中,犯罪已得到很大程度的缓解,您实际上可以通过在SSL / TLS会话开始时的协议协商过程中关闭压缩来防止犯罪。违反更困难。查看Ristic的建议 这里.

完善的前向保密

一旦解决了这些问题,管理员应将重点放在 完善的前向保密 对于他们的TLS会话,Ristic相信。

问题是:TLS会话通常使用创建的对称密钥进行加密,并使用非对称(PKI)加密进行交换。本质上,服务器向客户端提供其TLS证书,该证书具有其公用密钥,并且客户端使用公用密钥加密并返回对称密钥以在会话期间使用。服务器使用其私钥解密此对称密钥。整个设置称为RSA密钥交换。

因为服务器的私钥保护对称密钥,所以这意味着私钥必须永远保密。如果发现,可以截获并存储加密流量的任何人都可以解密整个TLS会话。

为什么这么重要?由于国家安全局的PRISM项目。 NSA可能会存档整个会话产生的流量,即使今天它无法访问服务器的SSL / TLS证书,NSA将来也可能会掌握它。将来,NSA甚至可以要求组织在证书过期后移交其服务器证书。

如果NSA可以访问过期的证书,则它可以通过存档的流量并解密会话。即使您不担心国家安全局访问您的流量,外国政府机构也可能会做同样的事情呢?

幸运的是,您可以防止这种情况。请使用称为Diffie-Hellman交换(DHE)算法的密钥交换机制,或使用为与椭圆曲线密码学一起使用而开发的版本(称为ECDHE算法)。 DHE比ECDHE慢,并且两者都比RSA慢。

这些Diffie-Hellman交换机制导致会话密钥只能由参与交换的两方获得。在会话结束时,密钥被销毁。即使NSA或其他任何人都可以访问服务器的私钥,也无法重新创建它们。

Ristic说,大多数主要的现代浏览器都支持ECDHE。要在服务器上实现转发保密,您需要对其进行配置以对密码套件进行优先级排序,例如:

  • TLS_ECDHE_RSA_WITH_RC4_128_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

但是,在为服务器配置正向保密性之前,请了解其缺点。 Ristic指出:“例如,许多网络安全设备可以配置为在给定服务器的私钥时解密通信并检查流量。”但他补充说:“但是,如果没有此功能,被动IDS / IPS和WAF设备将无法看到流量,因此无法提供保护。”

严格的运输安全

SSL / TLS管理员还应该考虑另外两件事。首先是严格的运输安全。启用它涉及https响应标头配置更改,该更改可确保客户端仅使用SSL / TLS进行连接,并自动将通过http连接的尝试转换为https,从而防止服务器证书过期时的连接。

严格的运输安全还可以抵御诸如 SSL剥离攻击 将安全的https连接推回不安全的http连接。 Ristic说:“许多管理员对此一无所知,但严格的传输安全性易于部署。”他说,唯一不合适的情况是通过内容传递网络传递流量,这是因为在这些网络上使用SSL / TLS的成本很高。

OWASP提供指向在其上配置服务器(包括Apache,NGINX,Lighttpd,HTTPd和IIS)的严格传输安全性的说明的链接。 严格的运输安全页面.

公钥固定

要考虑的第二件事是 公钥固定,这个想法尚处于起步阶段,但有可能在未来变得重要。简而言之,公钥固定使SSL / TLS服务器可以告诉浏览器仅信任特定证书颁发机构颁发的证书。这意味着,如果您从Verisign购买证书,则浏览器应仅信任该公司发行的证书,而不应信任浏览器可能信任的其他任何权威机构颁发的证书。这意味着,如果证书颁发机构(如Diginotar众所周知的那样)遭到破坏,即使该证书颁发机构以您的组织的名义颁发了证书,也不会欺骗浏览器。

有关安全SSL / TLS连接的更多建议,Qualys / SSL实验室会发布定期更新的最佳做法列表。

本文最初于2013年9月30日发布
通过网络更新新闻获取最新消息