您当前的位置:首页 > 电脑百科 > 站长技术 > 网站

安全部署TLS证书的五个建议

时间:2019-08-28 11:37:32  来源:  作者:

传输层安全 (TLS) 证书是均衡安全套餐的重要组成部分,相当于营养丰富的早餐在膳食平衡中的重要地位,但很多公司企业随便用根撒满糖霜油条就打发了这重要的一餐,还自以为补充了足够的能量。

 

安全部署TLS证书的五个建议

 

 

或许有人觉得安全配置和部署 TLS 证书是小菜一碟,但只要用 Censys 或 Shodan 联网设备搜索引擎一搜,大量不安全 TLS 证书立时呈现眼前,其中甚至包括不少真的应该对网络安全知之甚详的组织机构所部署的。

TLS 证书保护 Web 流量、电子邮件和 DNS 等很多其他服务的机密性与完整性。尽管 X.509 证书体系广受破解之苦,但仍是不应被忽略的重要网络安全防护措施,就算不是能立时堵上所有安全漏洞的万灵丹,至少也是重要且简便的安全风险缓解办法之一。

以下五条建议助您玩转 TLS 安全魔力。

1. 采用更长的TLS密钥

1024 位 RSA 素数分解已经不是什么难事,攻击者下载用户公钥,再暴力破解私钥,就可以解密用户 Web 流量,甚至假冒用户的服务器。解决方案:采用更长的 TLS 密钥。

2048 位密钥是当前的行业标准,任何少于该标准的密钥位数都不应再被采用。对没有极高性能要求的网站而言,3072 或 4096 位的 RSA 密钥也不是什么过于疯狂的想法。增加 RSA 密钥长度确实会稍微影响性能,但未必会影响到用户可察觉的程度。

尽管确保 RSA 密钥长度够长对 TLS 证书安全而言至关重要,但仍有其他多种方式可以损害 TLS 安全性,密钥长度不过是 TLS 安全旅程的开头而不是终点。

2. 可能的话,移除TLS 1和TLS 1.1

就好像应被废止的 SSL v2 和 SSL v3,TLS v1 也不再被认为是可接受的最佳实践——甚至支付卡行业数据安全标准 (PCI DSS) 也于去年要求 PCI 合规网站撤销 TLS v1 支持,并敦促商家禁用 TLS v1.1。

题为 “使用 SSL/早期 TLS 的风险是什么?” 的章节里,PCI 人士写道:SSL 和早期 TLS 中存在大量未修复的严重漏洞,使用这些协议的组织机构有发生数据泄露的风险。广为传播的 POODLE 和 BEAST 漏洞利用就是个例子,攻击者可利用 SSL 和早期 TLS 中的漏洞渗透组织机构。

安全人员都清楚 PCI/DSS 的安全建议实乃老生常谈,不过是最低标准的合规底线。除非需要支持很多高龄设备,否则最好尽早移除对 TLS v1 和 TLS v1.1 的支持。

TLS 1.3 尚属新鲜事物,但能提供更健壮的安全特性,并做了一定程度的性能提升。该新规范直到 2018 年 8 月才最终定稿,截至目前采用进程缓慢。提供 TLS 1.3 支持不会有任何已知危害,如果客户端不支持该新协议,会自动降级到 TLS 1.2。

3. 如果可能的话,删除对旧密码套件的支持

降级攻击太多太密集。POODLE、FREAK、Logjam……层出不穷,绵延不断。为支持老旧设备,很多 TLS 实现都支持 90 年代所谓的 “出口加密”——美国故意弄残的加密方式。美国国家安全局 (NSA) 对出口海外的加密强度设了限制。用 Censys 一搜就可以知道,直到最近,诱骗 Web 服务器认为客户端仅支持古早加密套件依然是相当有效的攻击方式,数百万网站都会中招。

最好只启用安全的加密,如果必须忍受较弱的加密,衡量下为极少数用户的可用性而丧失*全部*用户的机密性与完整性值不值得。

想分析验证自身 TLS 证书当前支持的加密套件及其安全性,可以考虑从 Qualys SSL Labs 的在线测试入手。

4. 更短的有效时间

破坏正确配置部署的 TLS 证书安全性最简单的方法,就是黑进服务器并盗取私钥。常规密钥轮转可以确保密钥盗窃不意味着全盘皆输,并将伤害控制在最大入侵时间窗口内。专家建议密钥轮转时间间隔在 60-90 天为宜,Let’s Encrypt 强制要求最长不超过 90 天。

然而,行业标准依然允许长达 2 年(825天)的密钥有效期,这还是 2018 年才从之前的最长 3 年减下来的。千万别以最低标准要求自己。时至今日,密钥 30 天一轮转不稀奇。逼迫攻击者要么长期驻留,要么经常入侵服务器盗取新密钥,可以增加抓到攻击者的概率。就算挡不住最危险的黑客团伙,至少可以让他们没那么轻松就可以扬长而去。

5. 避免跨多个设备使用通用证书

如果私钥部署在多个设备上,比如 Web 服务器、电子邮件服务器、影印机、打印机和一些物联网设备,那黑掉服务器盗取 TLS 密钥就相当容易了。现如今攻击界面无比庞大,攻击者仅需找出最脆弱的设备便可顺藤摸瓜直捣黄龙,黑一台复印机拿到私钥显然比直接黑服务器来得容易得多。

私钥所处的地方越多,攻击者盗取私钥解密所有信息的过程就越轻松。所以,千万别图省事只用一个私钥打天下。只要有条件,私钥应每个设备配一个。

没有所谓的 “攻击免疫” 组织机构。即便是英国政府通信总部 (GCHQ),也曾因一个通用 TLS 证书败走麦城。

糟糕的 TLS 部署操作会向嗅觉灵敏的攻击者透露很多有关你公司的信息,每周扫描整个 IPv4 网段的监管机构和网络安全保险公司同样可借此了解你的安全合规状况。如果连 TLS 证书都懒得正确部署,可以想见其他基础设施的安全状况也好不到哪儿去。很多人都在四处嗅探你的安全情况,其中一些可没那么友好。必要的门面工作要做好,吓阻总比事后补救来得方便。



Tags:TLS证书   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
前言本文主要讲解如何快速搭建一个https网页文件服务器,并免费申请权威机构颁发的tls证书。5分钟搭建公网https网页文件服务器,免费权威TLS证书最终成果: 通过浏览器打开指定网...【详细内容】
2021-03-03  Tags: TLS证书  点击:(329)  评论:(0)  加入收藏
传输层安全 (TLS) 证书是均衡安全套餐的重要组成部分,相当于营养丰富的早餐在膳食平衡中的重要地位,但很多公司企业随便用根撒满糖霜油条就打发了这重要的一餐,还自以为补充了...【详细内容】
2019-08-28  Tags: TLS证书  点击:(175)  评论:(0)  加入收藏
▌简易百科推荐
今天我们来聊一下北京地区的《ICP经营许可证》有多好办,现在的互联网上提供的商机越来越多,增值电信业务十分火爆,企业通过互联网突破地域的限制,把公司产品卖到更远的地方,同时...【详细内容】
2021-12-17  梦想理应飞翔Yy    Tags:《ICP经营许可证》   点击:(12)  评论:(0)  加入收藏
转自: https://blog.kermsite.com/p/blog-intro/由于格式问题,部分链接、表格可能会失效,若失效请访问原文此专题将详细介绍如何从零开始搭建一个个人博客。Dec 01, 2021阅读时...【详细内容】
2021-12-17  LaLiLi    Tags:个人博客   点击:(7)  评论:(0)  加入收藏
SP证是第二类增值电信业务经营许可证的简称。分为全网SP证和地网SP证。申请经营许可证是在工信部申请,全网SP经营许可证的有效期是5年,全网SP许可证在工信部办理全网SP续期,地...【详细内容】
2021-11-01  s陳述    Tags:sp证书   点击:(39)  评论:(0)  加入收藏
现在还有许多人不知道EDI许可证是什么东西今天我就来给大家讲解一下.EDI许可证就是一种增值电信业务经营许可证。是针对在线数据处理和交易处理业务需求的专业资格证书。 《...【详细内容】
2021-10-28  soberXx    Tags:edi许可证   点击:(75)  评论:(0)  加入收藏
元素的化学概念,如周期表中的化学元素,一切物质都是由元素构成的。对程序员而言,网站建设制作就是代码构成网站。企业网站设计者也收集了各种各样的元素,但并非所有元素都需要运...【详细内容】
2021-10-26  南宁云尚网络    Tags:企业网站   点击:(40)  评论:(0)  加入收藏
在运营网站的过程中,有一件不可忽略的事情。那就是网站上线之前需要完成 ICP 备案。说到这里,很多朋友就提出疑问了~· 什么是 ICP 备案呢?· ICP 备案需要哪些材...【详细内容】
2021-10-22  启测云    Tags:ICP备案   点击:(46)  评论:(0)  加入收藏
最近有朋友问我,我公司有外资就不能申请ICP许可证了么?外资的定义是什么?其实是可以的,但有一个特定条件必须满足,外资公司是指公司有外资股东,比如香港、加拿大、美国、韩国等等,...【详细内容】
2021-10-21  小白速看Z    Tags:ICP   点击:(51)  评论:(0)  加入收藏
自互联网出现以来,超文本传输协议http协议被广泛用于在Web浏览器和网站服务器之间传递信息,但随着互联网的发展,另一种协议——https出现,并与http一同服务于这个互联...【详细内容】
2021-10-20  我是FEIYA    Tags:https   点击:(44)  评论:(0)  加入收藏
Grafana Loki 是一个日志聚合工具,它是功能齐全的日志堆栈的核心。图片来自 包图网先看看结果有多轻量吧: Loki 是一个为有效保存日志数据而优化的数据存储。日志数据的高效索...【详细内容】
2021-09-14    51CTO  Tags:Loki日志   点击:(97)  评论:(0)  加入收藏
背景最近做微信小程序开发比较多,大家知道线上微信小程序为了安全起见,要求后端通信协议必须是HTTPS,这就要求需要安装证书。为了测试预发布线上环境,特地买了个最便宜的域名,为...【详细内容】
2021-09-14  小李子说程序    Tags:HTTPS证书   点击:(125)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条