2016-09-18 分類: 網(wǎng)站建設(shè)
SSL2.0 早就被證明是不安全的協(xié)議了,統(tǒng)計發(fā)現(xiàn)目前已經(jīng)沒有客戶端支持 SSL2.0,所以可以放心地在服務(wù)端禁用 SSL2.0 協(xié)議。
2014 年爆發(fā)了 POODLE 攻擊,SSL3.0 因此被證明是不安全的。但是統(tǒng)計發(fā)現(xiàn)依然有 0.5% 的流量只支持 SSL3.0。所以只能有選擇地支持 SSL3.0。
TLS1.1 及 1.2 目前為止沒有發(fā)現(xiàn)安全漏洞,建議優(yōu)先支持。
加密套件包含四個部分:
非對稱密鑰交換算法。建議優(yōu)先使用 ECDHE,禁用 DHE,次優(yōu)先選擇 RSA。
證書簽名算法。由于部分瀏覽器及操作系統(tǒng)不支持 ECDSA 簽名,目前默認都是使用 RSA 簽名,其中 SHA1 簽名已經(jīng)不再安全,chrome 及微軟 2016 年開始不再支持 SHA1 簽名的證書
對稱加解密算法。優(yōu)先使用 AES-GCM 算法,針對 1.0 以上協(xié)議禁用 RC4( rfc7465)。
內(nèi)容一致性校驗算法。Md5 和 sha1 都已經(jīng)不安全,建議使用 sha2 以上的安全哈希函數(shù)。
降級攻擊一般包括兩種:加密套件降級攻擊 (cipher suite rollback) 和協(xié)議降級攻擊(version roll back)。降級攻擊的原理就是攻擊者偽造或者修改 client hello 消息,使得客戶端和服務(wù)器之間使用比較弱的加密套件或者協(xié)議完成通信。
為了應(yīng)對降級攻擊,現(xiàn)在 server 端和瀏覽器之間都實現(xiàn)了 SCSV 功能,原理參考
一句話解釋就是如果客戶端想要降級,必須發(fā)送 TLS_SCSV 的信號,服務(wù)器如果看到 TLS_SCSV,就不會接受比服務(wù)端高協(xié)議版本低的協(xié)議。
重新協(xié)商(tls renegotiation)分為兩種:加密套件重協(xié)商 (cipher suite renegotiation) 和協(xié)議重協(xié)商(protocol renegotiation)。
重新協(xié)商會有兩個隱患:
重協(xié)商后使用弱的安全算法。這樣的后果就是傳輸內(nèi)容很容易泄露。
重協(xié)商過程中不斷發(fā)起完全握手請求,觸發(fā)服務(wù)端進行高強度計算并引發(fā)服務(wù)拒絕。 對于重協(xié)商,最直接的保護手段就是禁止客戶端主動重協(xié)商,當然出于特殊場景的需求,應(yīng)該允許服務(wù)端主動發(fā)起重協(xié)商。
文章題目:HTTPS 安全配置
網(wǎng)站地址:http://jinyejixie.com/news/46464.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)建站、自適應(yīng)網(wǎng)站、ChatGPT、面包屑導(dǎo)航、網(wǎng)站收錄、網(wǎng)站導(dǎo)航
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容