成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

HTTPS 安全配置

2016-09-18    分類: 網(wǎng)站建設(shè)

協(xié)議版本選擇

SSL2.0 早就被證明是不安全的協(xié)議了,統(tǒng)計發(fā)現(xiàn)目前已經(jīng)沒有客戶端支持 SSL2.0,所以可以放心地在服務(wù)端禁用 SSL2.0 協(xié)議。
2014 年爆發(fā)了 POODLE 攻擊,SSL3.0 因此被證明是不安全的。但是統(tǒng)計發(fā)現(xiàn)依然有 0.5% 的流量只支持 SSL3.0。所以只能有選擇地支持 SSL3.0。
TLS1.1 及 1.2 目前為止沒有發(fā)現(xiàn)安全漏洞,建議優(yōu)先支持。

加密套件選擇

加密套件包含四個部分:

  1. 非對稱密鑰交換算法。建議優(yōu)先使用 ECDHE,禁用 DHE,次優(yōu)先選擇 RSA。

  2. 證書簽名算法。由于部分瀏覽器及操作系統(tǒng)不支持 ECDSA 簽名,目前默認都是使用 RSA 簽名,其中 SHA1 簽名已經(jīng)不再安全,chrome 及微軟 2016 年開始不再支持 SHA1 簽名的證書

  3. 對稱加解密算法。優(yōu)先使用 AES-GCM 算法,針對 1.0 以上協(xié)議禁用 RC4( rfc7465)。

  4. 內(nèi)容一致性校驗算法。Md5 和 sha1 都已經(jīng)不安全,建議使用 sha2 以上的安全哈希函數(shù)。

HTTPS 防攻擊

防止協(xié)議降級攻擊

降級攻擊一般包括兩種:加密套件降級攻擊 (cipher suite rollback) 和協(xié)議降級攻擊(version roll back)。降級攻擊的原理就是攻擊者偽造或者修改 client hello 消息,使得客戶端和服務(wù)器之間使用比較弱的加密套件或者協(xié)議完成通信。
為了應(yīng)對降級攻擊,現(xiàn)在 server 端和瀏覽器之間都實現(xiàn)了 SCSV 功能,原理參考 
一句話解釋就是如果客戶端想要降級,必須發(fā)送 TLS_SCSV 的信號,服務(wù)器如果看到 TLS_SCSV,就不會接受比服務(wù)端高協(xié)議版本低的協(xié)議。

防止重新協(xié)商攻擊

重新協(xié)商(tls renegotiation)分為兩種:加密套件重協(xié)商 (cipher suite renegotiation) 和協(xié)議重協(xié)商(protocol renegotiation)。
重新協(xié)商會有兩個隱患:

  1. 重協(xié)商后使用弱的安全算法。這樣的后果就是傳輸內(nèi)容很容易泄露。

  2. 重協(xié)商過程中不斷發(fā)起完全握手請求,觸發(fā)服務(wù)端進行高強度計算并引發(fā)服務(wù)拒絕。 對于重協(xié)商,最直接的保護手段就是禁止客戶端主動重協(xié)商,當然出于特殊場景的需求,應(yīng)該允許服務(wù)端主動發(fā)起重協(xié)商。

文章名稱:HTTPS 安全配置
路徑分享:http://jinyejixie.com/news14/46464.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供Google網(wǎng)頁設(shè)計公司App開發(fā)、虛擬主機云服務(wù)器、網(wǎng)站內(nèi)鏈

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

網(wǎng)站托管運營
子洲县| 苏州市| 双柏县| 莆田市| 千阳县| 长宁区| 盘锦市| 龙胜| 内丘县| 尼勒克县| 邵阳县| 宝山区| 涟源市| 武宣县| 彭水| 大悟县| 从江县| 屯门区| 达拉特旗| 白银市| 胶南市| 缙云县| 时尚| 田东县| 屯留县| 南开区| 偃师市| 龙岩市| 德格县| 琼海市| 凤冈县| 潞城市| 沛县| 永丰县| 高碑店市| 宜昌市| 扶沟县| 丹江口市| 田东县| 张家界市| 商河县|