确保SSL抵抗今天的威胁

By Paul Rubens | 打印此页
//www.chuangxintongxin.com/netsecur/secure-ssl-against-todays-threats.html

野兽,犯罪,违规,幸运13:在过去两年中,我们已经看到了一个看似无穷无尽的攻击,以防止安全套接字层(SSL)/传输层安全(TLS)提供的安全性。

虽然这些攻击在大多数情况下对风险相当有限,但它们会对负责提供SSL或TLS的服务器的任何人都会让生活不舒服,该协议替换它。

这是其中一个困境管理员面临的一个例子。这 野兽攻击 暴露在Cypher块链中的弱点(CBC),允许确定的攻击者损害TLS 1.0的安全性。

为了缓解风险,建议管理员重新配置其服务器,以便在TLS会话期间使用的首选密码套件是RC4。这是因为RC4不使用CBC。大约50%的TLS会话现在使用RC4, 根据SSL实验室 .

迄今为止,大多数浏览器—apart from Safari–已经更新以缓解野兽攻击,尽管较旧的浏览器仍在使用。

但这是问题:返回今年3月,一群研究人员揭晓 RC4的弱点 和利用它的理论方法。

因此,是否应该重新配置服务器,享有使用CBC在RC4上的密码套件?

“我们终于宣布野兽在客户端减轻了,因此不再需要服务器端缓解,”安全公司Qualys的SSL专家和工程总监Ivan Ristic说。由于目前没有缓解RC4漏洞,管理员应该再次开始使用CBC套件,而不是RC4,他结束。

然而,事实上,有一个比这更好的解决方案,这是有利于 Galois /逆编号(GCM) 尚未发现漏洞,没有漏洞。但是,再次出现问题。 GCM Ciphers仅在最新版本的TLS,TLS 1.2中实际可用。 “这根本不实用,用于将GCM密码添加到旧版本的SSL或TLS,”Ristm解释。

为什么不升级到最新版本的服务器管理员?答案是,这不是琐碎的任务,这证明了这一事实,虽然TLS 1.2规范在2008年发布,但据此少于18%的服务器,据 SSL实验室 。升级到它通常意味着升级基础服务器操作系统,这是大多数组织在计划中所做的事情,而不是响应其网络交易安全的主要理论风险。

远离RC4有多紧急? “如果你不能使用GCM,那么它并不重要,因为RC4和野兽同样不太可能被剥削,”Ristic说。 “目前,任何CBC套件可能都很好,”他补充道。

犯罪和违规袭击怎么样?犯罪率在很大程度上在更新的浏览器中减轻了,并且您可以通过在SSL / TLS会话开始时关闭协议协商期间关闭压缩。违规更困难。查看Ristic的建议 这里 .

完美的秘密

一旦他们处理这些问题,管理员应该专注于提供 完美的秘密 为了他们的TLS会议,Ristics相信。

以下是问题:TLS会话通常使用使用非对称(PKI)加密创建和交换的对称密钥加密。基本上,服务器为客户端提供了其TLS证书,它具有其公钥,并且客户端使用公钥来加密并返回会话期间使用的对称密钥。该对称密钥由服务器使用其私钥解密。整个设置被称为RSA密钥交换。

由于服务器的私钥保护对称密钥,这意味着私钥必须永远保持秘密。如果它曾经播放,则可以由已截获并存储加密流量的任何人解密整个TLS会话。

为什么这件事?因为NSA的棱镜项目。 NSA可以归档整个会话生成的流量,即使它今天无法访问服务器的SSL / TLS证书,那么NSA将来可能会持有它的可能性。将来,NSA可能会要求组织在已过期后处理其服务器证书。

如果NSA访问过期证书,则可以通过归档流量并解密会话。甚至如果您并不担心NSA访问您的交通,外国政府机构也呢,这可能正在做同样的事情?

幸运的是,你可以防止这一点。使用称为Diffie-Hellman Exchange(DHE)算法的密钥交换机制,或者开发用于椭圆曲线密码的版本,称为ECDHE算法。 DHE比ECDHE慢,两者均比RSA慢。

这些Diffie-Hellman交换机制导致仅可由交换所涉及的双方获得的会话键。在会话结束时,键被销毁。即使NSA或其他任何人访问服务器的私钥,也无法重新创建。

Ristic说,大多数主要的现代浏览器都支持Ecdhe。要在服务器上实现前进保密,您需要将其配置为优先级套件,例如:

  • tls_ecdhe_rsa_with_rc4_128_sha.
  • tls_ecdhe_rsa_with_aes_128_cbc_sha.
  • tls_ecdhe_rsa_with_aes_256_cbc_sha.
  • tls_ecdhe_rsa_with_3des_ede_cbc_sha.

但在您走上配置服务器之前,请参阅转发保密,了解缺点。例如,许多网络安全设备可以被配置为在给定服务器的私钥时解密通信并检查流量,“Ristic指出。但是“没有这种能力,被动IDS / IPS和WAF设备没有进入流量的可见性,因此不提供保护,”他补充道。

严格的运输安全

SSL / TLS管理员还应该考虑另外两件事。其中的第一个是严格的运输安全。启用它涉及HTTPS响应头配置更改,可确保客户端仅使用SSL / TLS连接,并自动转换通过HTTP连接到HTTPS的尝试,防止如果服务器证书已过期。

也打败了攻击,如 SSL剥离攻击 这将安全的HTTPS连接推回INECURE HTTP ONE。 “许多管理员不了解它,但严格的传输安全性很容易部署,”Ristic说。他说,唯一可能不合适的情况是通过内容交付网络提供交通,因此由于在这些网络上使用SSL / TLS的成本。

OWASP提供了用于配置服务器,包括Apache,Nginx,LightTPD,Httpd和IIS的服务器的说明的链接 页面.

公钥固定

第二件要考虑的是 公钥固定 ,一个在其婴儿期间的想法,但有可能在将来变得重要。简而言之,公钥固定使SSL / TLS服务器能够告诉浏览器只能仅通过特定证书颁发机构发出的信任证书。这意味着如果您从VeriSign购买证书,浏览器只能信任该公司发出的证书,而不是由您的浏览器可信赖的其他当局。这意味着如果证书颁发机构受到损害,因为Diginotar着名,那么即使该权限在组织名称中发出证书,浏览器也不会被愚弄。

有关安全SSL / TLS连接的更多建议,Qualys / SSL Labs会发布定期更新的最佳实践列表。

本文最初发表于2013年9月30日