当前位置:首页 > 技术支持 > 

+021-51185995
  • 选择语言

    中文
    English
  • 首页
  • IT外包
  • 项目方案
  • 网站建设
  • 客户案例
  • 新闻中心
  • 关于我们
  • 人才招聘

在线咨询

电话咨询

021-51185995

返回头部

返回上一级
当前位置:首页 > 技术支持 > 

七步解决关键SSL安全问题及漏洞

发布时间:2022-04-19 08:34 来源:www.itsr.com 点击:

近年来,安全套接字层(SSL)技术已经有所改进,但同时也出现新的漏洞。本文中我们将探讨新的SSL安全形势以及新的安全问题。下面让我们来了解这些SSL安全问题以及可帮助信息安全专业人员解决这些问题及安全部署SSL的七个步骤。

第一步:SSL证书

SSL证书是SSL安全的重要组成部分,并指示用户网站是否可信。基于此,SSL必须是从可靠的证书颁发机构(CA)获取,而且CA的市场份额越大越好,因为这意味着证书被撤销的几率更低。企业不应该依靠自签名证书。企业最好选择采用SHA-2散列算法的证书,因为目前这种算法还没有已知漏洞。扩展验证(EV)证书提供了另一种方法来提高对网站安全的信任度。大多数浏览器会将具有EV证书的网站显示为安全绿色网站,这为最终用户提供了强烈的视觉线索,让他们知道该网站可安全访问。

第二步:禁用过时的SSL版本

较旧版本的SSL协议是导致SSL安全问题的主要因素。SSL2.0早就遭受攻击,并应该被禁用。而因为POODLE攻击的发现,SSL3.0现在也被视为遭受破坏,且不应该被支持。Web服务器应该配置为在第一个实例中使用TLSv1.2,这提供了最高的安全性。现代浏览器都支持这个协议,运行旧浏览器的用户则可以启用TLS1.1和1.0支持。

第三步:禁用弱密码

少于128位的密码应该被禁用,因为它们没有提供足够的加密强度。这也将满足禁用输出密码的要求。RC4密码应该被禁用,因为它存在漏洞容易受到攻击。理想情况下,web服务器应该配置为优先使用ECDHE密码,启用前向保密。该选项意味着,即使服务器的私钥被攻破,攻击者将无法解密先前拦截的通信。

第四步:禁用客户端重新协商

重新协商允许客户端和服务器阻止SSL交流以重新协商连接的参数。客户端发起的重新协商可能导致拒绝服务攻击,这是严重的SSL安全问题,因为这个过程需要服务器端更多的处理能力。

第五步:禁用TLS压缩

CRIME攻击通过利用压缩过程中的漏洞,可解密部分安全连接。而禁用TLS压缩可防止这种攻击。另外要注意,HTTP

压缩可能被TIME和BREACH攻击利用;然而,这些都是非常难以完成的攻击。

第六步:禁用混合内容

应该在网站的所有区域启用加密。任何混合内容(即部分加密,部分未加密)都可能导致整个用户会话遭攻击。

第七步:安全

cookie和HTTP严格传输安全(HSTS)确保所有控制用户会话的cookie都设置了安全属性;这可防止cookie通过不安全的连接被暴力破解和拦截。与此类似,还应该启用HSTS以防止任何未加密连接。按照这些步骤的话,SSL部署会很安全。

上海一站式IT外包服务,上海希尼亚偌信息科技有限公司专注IT领域多年,致力于IT外包、IT运维、网络维护、系统集成等多项IT外包服务,服务网点遍及上海各区,数十年来已为数百家知名企业及上市企业提供过IT技术服务。欢迎您来电咨询,我们将竭诚为您服务...



上一篇:关于电脑硬件的一些基础知识 下一篇:七大IT外包战略应对新技术挑战

联系我们

CONTACT US

总部:上海市静安区南京西路580号仲益大厦12F

技术中心:上海市静安区恒通路360号一天下大厦12C08

业务咨询:+021-51185995

EMAIL:SERVICE@ITSR.COM

在线提交需求

SUBMIT DEMAND
  • 立即提交

  • IT外包
  • IT服务
  • IT运维
  • IT弱电工程
  • 网络工程
  • 网络安全
  • 海外it外包
  • IT外包公司
  • 上海IT外包
    Copyright @ 2015 希尼亚偌网络科技有限公司 All Rights Reserved 沪ICP备2021012466号-1
    关注希尼亚偌