主页 > 知识库 > 服务器 > 网络安全 >

安全部署和配置SSL 避免SSL漏洞

来源:TechTarget中国 作者:Nick Lewis 发表于:2012-07-26 13:03  点击:
自1994年由Netscape开发以来,安全套接字层(SSL)一直不断受到攻击。X.509公钥基础设施的安全和完整性最近也出现很多问题。尽 管有很多关于SSL安全的警告,如果正确部署和配置的话,SSL仍然能够用于保护不安全网络间的数据传输。在本文中,我们将讨论SSL漏洞
自1994年由Netscape开发以来,安全套接字层(SSL)一直不断受到攻击。X.509公钥基础设施的安全和完整性最近也出现很多问题。尽 管有很多关于SSL安全的警告,如果正确部署和配置的话,SSL仍然能够用于保护不安全网络间的数据传输。在本文中,我们将讨论SSL漏洞对企业构成的威 胁程度,并提供了安全部署和配置SSL的方法。
  SSL安全问题
  由于大家越来越多地依赖于SSL来保护通信,现在不安 全地使用SSL对企业和用户造成的威胁要比两年前更大。最近的攻击有Comodo和DigiNotar证书机构遭遇的中间人攻击,以及PKI证书颁发机构 (CA)发布假冒中间CA或者服务器证书(可以用于攻击SSL连接)等其他攻击。这些证书甚至可以由企业用来监控他们自己网络中的通信。
  更大的问题是,SSL并不提供web应用程序或系统需要保护数据或系统的功能,SSL只是为通过网络传输的数据提供了强大的保护,并且加密技术可以在很多其他地方保护数据。如果SSL或者加密部署不安全或者系统不安全,用来保护系统的加密算法将失去意义。
  除了SSL核心加密技术和密钥交换方法中存在的问题,更多安全问题出现在企业SSL部署中,这些问题包括使用弱加密技术,以及为不同的主机名使用相同的证书。
  抵御SSL漏洞
   当在SSL中发现漏洞时,企业应及时更新补丁,确保大部分程序的修复和保护与其他软件一样。由于SSL的复杂性以及支持SSL的设备的种类多样,这可能 是一项艰巨的任务,如果修复程序不能向后兼容的话,修复工作将花费很多时间和精力。像其他任何补丁修复一样,SSL的补丁必须进行完全的测试以确保它不会 破坏任何功能。测试系统可能还需要连接到补丁系统以确保它们仍然能够连接。
  为了防范SSL漏洞,企业可以从三个方面采取适当保护措施: 用户、客户和服务。企业可以通过安装强制使用SSL的浏览器插件来保护用户,这方面的工具包括电子前沿基金会的FireFox插件(被称为HTTPS Everywhere),该插件将在SSL可用的情况下强制使用SSL。还有Convergence,该工具可以更好的控制受浏览器信任的CA。企业还应 该对用户进行安全意识培训,以确保他们总是使用安全的连接。用户不必对如何保护其连接做出复杂的技术性的决定,但他们应该要了解使用安全连接的重要性。这 些保护方法也同样适用于企业的客户,但企业只能提供安全连接服务来帮助他们巩固良好的连接习惯。
  企业还应该确保老旧的不太安全的SSL部署已经停用,以抵御降级攻击,在这种攻击中,客户端系统被诱使使用不安全的连接。IETF(互联网工程任务组)一直致力于改进SSL以提高SSL系统的安全状态。
  结语
  如果正确部署和配置的话,SSL仍然能够很好地保护数据传输,然而,现在更广为人知的是,不安全地使用SSL带来的风险以及漏洞问题。
核 心加密技术和密钥交换方法是发现新攻击形式和改善工作的核心,不过部署过程仍然在更大程度上决定着SSL的安全性。终端用户可能永远不会注意到这些改进, 但企业、服务器运营商和软件开发商必须实施这些改进和升级。在过去两年中,人们才逐渐意识到SSL的重要性。越来越多的用户开始使用不同的网络或者设备来 访问社交网络以及互联网,然而,无论他们选择什么方式,他们仍然希望通过加密连接来保护他们使用互联网。

    有帮助
    (0)
    0%
    没帮助
    (0)
    0%