dcsimg

确保SSL安全的十个技巧

您的SSL服务器是否有配置错误和已知漏洞,使其不安全?请遵循以下十个技巧,以避免常见的SSL安全错误。

 By 保罗·鲁本斯
第页  |  返回第1页

如果您的SSL服务器配置错误和已知漏洞使其不安全,请遵循以下十个技巧,以避免常见的SSL安全错误。

 

1.禁用对SSL v2的支持 -超过15年前,此版本的SSL协议显示不安全,但许多Web服务器仍支持该协议。

禁用它只需要几分钟。例如,在Apache v2中,您需要更改默认配置的一行:

SSLProtocol all

to

SSLProtocol all -SSLv2

2.禁用对弱密码的支持 -几乎所有的Web服务器都支持强(128位)或非常强(256位)加密密码,但是许多服务器还支持弱加密,黑客可以利用该弱点来危及企业网络安全。没有理由支持弱密码,可以通过在服务器上配置以下行来禁用弱密码:

SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW

3.确保您的服务器不支持不安全的重新协商 -SSL和TLS身份验证差距漏洞允许中间人使用重新协商将任意内容注入加密的数据流。大多数主要供应商都已为此漏洞发布了补丁程序,因此,如果您尚未这样做,则至少应优先实施安全重新协商或禁用不安全重新协商(对您的站点进行必要的更改)。

4.确保所有身份验证阶段均通过SSL执行 -保护用户凭据是关键,这意味着通过SSL连接向用户发送登录表单,以及在将用户凭据提交给您时使用SSL保护其凭据。否则,黑客可能会拦截您的表单,并用一种​​邪恶的,不安全的表单替换它,该表单会将用户的凭据转发到自己的服务器。

5.不要在您的网页上混合使用SSL保护的内容和纯文本 -混合内容可能会导致您的网站受到损害,因为单个不受保护的资源(例如Javascript)可能会被用来注入恶意代码或导致中间人攻击。

6.使用HTTP严格传输安全性(HSTS)保护您的域(包括子域) 如果您的网站受到HSTS的保护,则在首次访问后,该网站的所有链接都会自动从http转换为https,并且访问者将无法再次访问该网站,除非已通过有效的非自签名证书进行了验证。这意味着黑客将无法将您的用户转移到他们控制不安全链接的网络钓鱼站点(使用SSL剥离)或窃取不安全的会话cookie(使用Firesheep)。

Strict-Transport-Security标头必须仅通过HTTPS响应发送,并且配置可以像几行一样简单。对于Apache,这可能是:

标头设置为严格运输安全性“ max-age = XXXXXX”

标头附加严格运输安全includeSubDomains

7.使用 HttpOnly安全 标志 -在SSL​​会话期间用于身份验证的Cookie可以用于损害会话的SSL安全性。的 HttpOnly 标记会使您发出的Cookie对客户端脚本不可见,因此它们不能通过跨站点脚本漏洞被盗,而 安全 标志表示Cookie只能通过加密的SSL连接传输,因此无法被拦截。

配置您的Web服务器以同时发布Cookie和 HttpOnly安全 属性可以抵御这两种类型的攻击,这可以通过简单地添加;安全; HttpOnly到您的Set Cookie Http响应标头:

Set-Cookie: =; =
; expires=; domain=
; secure; HttpOnly



8.使用扩展验证(EV)证书
-尽管这对网站的安全性不是至关重要的,但EV证书会在大多数浏览器地址栏中提供清晰的视觉确认,表明访问者已与真正属于您的网站建立了安全的SSL连接,并且未转移到钓鱼网站。只有在证书颁发机构已采取严格的步骤来确认您的身份并且您拥有或控制要颁发证书的域名之后,才颁发EV证书。

9.确保您的证书包含子域 - To avoid site visitors getting certificate errors make sure that both //www.yourdomain.com 和 //yourdomain.com are covered by your SSL certificate.

您可以使用多域SSL证书来执行此操作,该证书通常允许您最多指定三个主题备用名称(SAN),例如yourdomain.com或www.yourdomain.com。

10.运行在线SSL Server测试 - You can check your overall SSL security posture, including SSL server configuration, certificate chain, 和 protocol 和 cipher suite support, as well as 搜索 for known weaknesses such as the renegotiation vulnerability, using the free Qualys SSL Labs SSL Server Test //www.ssllabs.com/ssldb/index.html

本文最初发表于2011年7月25日
通过网络更新新闻获取最新消息