解決關鍵SSL安全問題和漏洞方法

　　SSL(安全套接字層)廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸，以保障在Internet上數(shù)據(jù)傳輸之安全。下面是小編為大家整理的解決關鍵SSL安全問題和漏洞方法，歡迎參考~

　　第一步：SSL證書

　　SSL證書是SSL安全的重要組成部分，并指示用戶網(wǎng)站是否可信。基于此，SSL必須是從可靠的證書頒發(fā)機構(CA)獲取，而且CA的市場份額越大越好，因為這意味著證書被撤銷的幾率更低。企業(yè)不應該依靠自簽名證書。企業(yè)最好選擇采用SHA-2散列算法的證書，因為目前這種算法還沒有已知漏洞。

　　擴展驗證(EV)證書提供了另一種方法來提高對網(wǎng)站安全的信任度。大多數(shù)瀏覽器會將具有EV證書的網(wǎng)站顯示為安全綠色網(wǎng)站，這為最終用戶提供了強烈的視覺線索，讓他們知道該網(wǎng)站可安全訪問。

　　第二步：禁用過時的SSL版本

　　較舊版本的SSL協(xié)議是導致SSL安全問題的主要因素。SSL 2.0早就遭受攻擊，并應該被禁用。而因為POODLE攻擊的發(fā)現(xiàn)，SSL 3.0 現(xiàn)在也被視為遭受破壞，且不應該被支持。Web服務器應該配置為在第一個實例中使用TLSv1.2，這提供了最高的安全性。現(xiàn)代瀏覽器都支持這個協(xié)議，運行舊瀏覽器的用戶則可以啟用TLS 1.1和1.0支持。

　　第三步：禁用弱密碼

　　少于128位的密碼應該被禁用，因為它們沒有提供足夠的加密強度。這也將滿足禁用輸出密碼的要求。RC4密碼應該被禁用，因為它存在漏洞容易受到攻擊。

　　理想情況下，web服務器應該配置為優(yōu)先使用ECDHE密碼，啟用前向保密。該選項意味著，即使服務器的私鑰被攻破，攻擊者將無法解密先前攔截的通信。

　　第四步：禁用客戶端重新協(xié)商

　　重新協(xié)商允許客戶端和服務器阻止SSL交流以重新協(xié)商連接的參數(shù)。客戶端發(fā)起的重新協(xié)商可能導致拒絕服務攻擊，這是嚴重的SSL安全問題，因為這個過程需要服務器端更多的處理能力。

　　第五步：禁用TLS壓縮

　　CRIME攻擊通過利用壓縮過程中的漏洞，可解密部分安全連接。而禁用TLS壓縮可防止這種攻擊。另外要注意，HTTP壓縮可能被TIME和BREACH攻擊利用;然而，這些都是非常難以完成的攻擊。

　　第六步：禁用混合內容

　　應該在網(wǎng)站的所有區(qū)域啟用加密。任何混合內容(即部分加密，部分未加密)都可能導致整個用戶會話遭攻擊。

　　第七步：安全cookie和HTTP嚴格傳輸安全(HSTS)

　　確保所有控制用戶會話的cookie都設置了安全屬性;這可防止cookie通過不安全的連接被暴力破解和攔截。與此類似，還應該啟用HSTS以防止任何未加密連接。

【解決關鍵SSL安全問題和漏洞方法】相關文章：

PHP頁面漏洞分析的方法08-13

開機提示“bootmgr is missing”的解決方法和步驟10-22

PHP解決session死鎖的解決方法09-17

解決php fsockopen的方法07-14

提高英語寫作的關鍵方法08-10

CPU故障解決方法10-29

解決windows 7藍屏的方法08-04

關于提高英語寫作關鍵方法06-07

高考英語寫作提高的關鍵之善用句型語法和詞匯方法參考07-01

word打開是亂碼的解決方法09-09