文章內容

安全部署和配置SSL 避免SSL漏洞

發布時間: 2012/5/28 19:32:34

SSL安全問題

　　由于大家越來越多地依賴于SSL來保護通信，現在不安全地使用SSL對企業和用戶造成的威脅要比兩年前更大。最近的攻擊有Comodo和DigiNotar證書機構遭遇的中間人攻擊，以及PKI證書頒發機構（CA）發布假冒中間CA或者服務器證書（可以用于攻擊SSL連接）等其他攻擊。這些證書甚至可以由企業用來監控他們自己網絡中的通信。

　　更大的問題是，SSL并不提供web應用程序或系統需要保護數據或系統的功能，SSL只是為通過網絡傳輸的數據提供了強大的保護，并且加密技術可以在很多其他地方保護數據。如果SSL或者加密部署不安全或者系統不安全，用來保護系統的加密算法將失去意義。

　　除了SSL核心加密技術和密鑰交換方法中存在的問題，更多安全問題出現在企業SSL部署中，這些問題包括使用弱加密技術，以及為不同的主機名使用相同的證書。

　　抵御SSL漏洞

　　當在SSL中發現漏洞時，企業應及時更新補丁，確保大部分程序的修復和保護與其他軟件一樣。由于SSL的復雜性以及支持SSL的設備的種類多樣，這可能是一項艱巨的任務，如果修復程序不能向后兼容的話，修復工作將花費很多時間和精力。像其他任何補丁修復一樣，SSL的補丁必須進行完全的測試以確保它不會破壞任何功能。測試系統可能還需要連接到補丁系統以確保它們仍然能夠連接。

　　為了防范SSL漏洞，企業可以從三個方面采取適當保護措施：用戶、客戶和服務。企業可以通過安裝強制使用SSL的瀏覽器插件來保護用戶，這方面的工具包括電子前沿基金會的FireFox插件（被稱為HTTPS Everywhere），該插件將在SSL可用的情況下強制使用SSL。還有Convergence，該工具可以更好的控制受瀏覽器信任的CA。企業還應該對用戶進行安全意識培訓，以確保他們總是使用安全的連接。用戶不必對如何保護其連接做出復雜的技術性的決定，但他們應該要了解使用安全連接的重要性。這些保護方法也同樣適用于企業的客戶，但企業只能提供安全連接服務來幫助他們鞏固良好的連接習慣。

　　企業還應該確保老舊的不太安全的SSL部署已經停用，以抵御降級攻擊，在這種攻擊中，客戶端系統被誘使使用不安全的連接。IETF（互聯網工程任務組）一直致力于改進SSL以提高SSL系統的安全狀態。

　　結語

　　如果正確部署和配置的話，SSL仍然能夠很好地保護數據傳輸，然而，現在更廣為人知的是，不安全地使用SSL帶來的風險以及漏洞問題。
核心加密技術和密鑰交換方法是發現新攻擊形式和改善工作的核心，不過部署過程仍然在更大程度上決定著SSL的安全性。終端用戶可能永遠不會注意到這些改進，但企業、服務器運營商和軟件開發商必須實施這些改進和升級。在過去兩年中，人們才逐漸意識到SSL的重要性。越來越多的用戶開始使用不同的網絡或者設備來訪問社交網絡以及互聯網，然而，無論他們選擇什么方式，他們仍然希望通過加密連接來保護他們使用互聯網