企业SSL防御策略 要使企业和用户抵御来自SSL的威胁,就需要了解企业在哪些地方使用了SSL,以及是如何使用的。这项工作可以使用与EFF和Qualys类似的方法,除此之外还有另外两种方法:监测网络流量,或者在客户端和服务器软件上执行应用程序详细清单(inventories)。在这一步完成后,你首先需要认识到,除非自己的企业在PKI(公钥基础设施)和SSL使用方面经验丰富,否则使用行业标准的SSL或认证中心是不明智的,因为它们极易导致SSL的配置问题。在客户端这一方面,你还需要使用最新的软件和安全配置(其中默认的可信赖认证中心清单是时刻更新的),才能预防由于SSL漏洞导致的攻击。
如果企业确实……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
企业SSL防御策略
要使企业和用户抵御来自SSL的威胁,就需要了解企业在哪些地方使用了SSL,以及是如何使用的。这项工作可以使用与EFF和Qualys类似的方法,除此之外还有另外两种方法:监测网络流量,或者在客户端和服务器软件上执行应用程序详细清单(inventories)。在这一步完成后,你首先需要认识到,除非自己的企业在PKI(公钥基础设施)和SSL使用方面经验丰富,否则使用行业标准的SSL或认证中心是不明智的,因为它们极易导致SSL的配置问题。在客户端这一方面,你还需要使用最新的软件和安全配置(其中默认的可信赖认证中心清单是时刻更新的),才能预防由于SSL漏洞导致的攻击。如果企业确实有使用复杂SSL配置的必要(例如使用SSL加速器和只支持某种类型认证的智能卡),并且拥有处理这种复杂配置的专业知识,那么这项配置需要小心地管理,因为SSL会导致不安全的配置,这一点在上述的报告中已经证明了。
最后一项控制只涉及授权(白名单)企业使用的浏览器中所部署的必要认证中心,可以抵制来自潜在恶意认证中心的攻击。然而,这可能需要花费很大的精力,不仅要发现这些必要的认证中心是什么,还要禁用其他的认证中心。
用户可以在一开始就使用Qualys SSL实验室报告中所提出的17种可信赖的SSL证书授予机构,随后再根据自己的需要进行添加。同时,可以考虑使用扩展验证证书,因为扩展验证证书与当前标准的证书相比提供了更高的安全保证。当前的标准证书不仅要考虑授予证书的认证中心,还要考虑向网络浏览器表明所访问网站的合法性。但是,EV(扩展验证)证书不会这么麻烦,它会帮助用户区分不同类型的证书,以及这些证书的授予单位。升级后安全性更高的浏览器会在地址栏上显示一个绿条,以表明使用了扩展验证证书。
结论
虽然SSL的安全风险日益严重,但是SSL/TLS协议一直在改进,服务器和客户系统也致力于应对这些漏洞和攻击。操作系统和应用程序供应商所附带的SSL管理和支持工具的性能有了大幅度的提高。这些工具被用户广泛的应用于维护SSL的安全性以及它的相关系统,这些做法对保护互联网隐私是极其重要的。企业应当经常关注人们对认证中心的讨论,从而获悉在浏览器的证书信任名单中哪些认证中心是默认的,从而避免那些不信任的认证中心被添加在信任名单中。
翻译
相关推荐
-
SSL/TLS安全:如何解决Schannel中WinShock漏洞?
在本文中,笔者将详细介绍Schannel中的WinShock漏洞、为什么它比其他SSL/TLS漏洞更严重以及缓解这种威胁的最佳方法。
-
黑帽大会:HTTPS和SSL协议存在安全漏洞
Web应用安全专家Robert “RSnake” Hansen和Josh Sokol在昨天的黑帽大会上宣布,Web浏览器的基础架构中存在24个危险程度不同的安全漏洞。
-
Mozilla推出Firefox 3 支持扩展验证SSL
近日,Mozilla在全球下载活动上推出Mozilla Firefox 3,拥有先进的安全保护功能,支持各认证中心厂商提供的扩展验证(EV)安全套接字层(SSL)证书。