日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

傳輸層安全 (TLS) 證書是均衡安全套餐的重要組成部分，相當(dāng)于營(yíng)養(yǎng)豐富的早餐在膳食平衡中的重要地位，但很多公司企業(yè)隨便用根撒滿糖霜油條就打發(fā)了這重要的一餐，還自以為補(bǔ)充了足夠的能量(其實(shí)是純熱量!)。

創(chuàng)新互聯(lián)專注于安陽(yáng)縣網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供安陽(yáng)縣營(yíng)銷型網(wǎng)站建設(shè)，安陽(yáng)縣網(wǎng)站制作、安陽(yáng)縣網(wǎng)頁(yè)設(shè)計(jì)、安陽(yáng)縣網(wǎng)站官網(wǎng)定制、小程序設(shè)計(jì)服務(wù)，打造安陽(yáng)縣網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供安陽(yáng)縣網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

或許有人覺(jué)得安全配置和部署 TLS 證書是小菜一碟，但只要用 Censys 或 Shodan 聯(lián)網(wǎng)設(shè)備搜索引擎一搜，大量不安全 TLS 證書立時(shí)呈現(xiàn)眼前，其中甚至包括不少真的應(yīng)該對(duì)網(wǎng)絡(luò)安全知之甚詳?shù)慕M織機(jī)構(gòu)所部署的。

TLS 證書保護(hù) Web 流量、電子郵件和 DNS 等很多其他服務(wù)的機(jī)密性與完整性。盡管 X.509 證書體系廣受破解之苦，但仍是不應(yīng)被忽略的重要網(wǎng)絡(luò)安全防護(hù)措施，就算不是能立時(shí)堵上所有安全漏洞的萬(wàn)靈丹，至少也是重要且簡(jiǎn)便的安全風(fēng)險(xiǎn)緩解辦法之一。

以下五條建議助您玩轉(zhuǎn) TLS 安全魔力。

1. 采用更長(zhǎng)的TLS密鑰

1024 位 RSA 素?cái)?shù)分解已經(jīng)不是什么難事，攻擊者下載用戶公鑰，再暴力破解私鑰，就可以解密用戶 Web 流量，甚至假冒用戶的服務(wù)器。解決方案：采用更長(zhǎng)的 TLS 密鑰。

2048 位密鑰是當(dāng)前的行業(yè)標(biāo)準(zhǔn)，任何少于該標(biāo)準(zhǔn)的密鑰位數(shù)都不應(yīng)再被采用。對(duì)沒(méi)有極高性能要求的網(wǎng)站而言，3072 或 4096 位的 RSA 密鑰也不是什么過(guò)于瘋狂的想法。增加 RSA 密鑰長(zhǎng)度確實(shí)會(huì)稍微影響性能，但未必會(huì)影響到用戶可察覺(jué)的程度。

盡管確保 RSA 密鑰長(zhǎng)度夠長(zhǎng)對(duì) TLS 證書安全而言至關(guān)重要，但仍有其他多種方式可以損害 TLS 安全性，密鑰長(zhǎng)度不過(guò)是 TLS 安全旅程的開(kāi)頭而不是終點(diǎn)。

2. 可能的話，移除TLS 1和TLS 1.1

就好像應(yīng)被廢止的 SSL v2 和 SSL v3，TLS v1 也不再被認(rèn)為是可接受的最佳實(shí)踐——甚至支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 也于去年要求 PCI 合規(guī)網(wǎng)站撤銷 TLS v1 支持，并敦促商家禁用 TLS v1.1。

題為 “使用 SSL/早期 TLS 的風(fēng)險(xiǎn)是什么?” 的章節(jié)里，PCI 人士寫道：SSL 和早期 TLS 中存在大量未修復(fù)的嚴(yán)重漏洞，使用這些協(xié)議的組織機(jī)構(gòu)有發(fā)生數(shù)據(jù)泄露的風(fēng)險(xiǎn)。廣為傳播的 POODLE 和 BEAST 漏洞利用就是個(gè)例子，攻擊者可利用 SSL 和早期 TLS 中的漏洞滲透組織機(jī)構(gòu)。

安全人員都清楚 PCI/DSS 的安全建議實(shí)乃老生常談，不過(guò)是最低標(biāo)準(zhǔn)的合規(guī)底線。除非需要支持很多高齡設(shè)備，否則最好盡早移除對(duì) TLS v1 和 TLS v1.1 的支持。

TLS 1.3 尚屬新鮮事物，但能提供更健壯的安全特性，并做了一定程度的性能提升。該新規(guī)范直到 2018 年 8 月才最終定稿，截至目前采用進(jìn)程緩慢。提供 TLS 1.3 支持不會(huì)有任何已知危害，如果客戶端不支持該新協(xié)議，會(huì)自動(dòng)降級(jí)到 TLS 1.2。

3. 如果可能的話，刪除對(duì)舊密碼套件的支持

降級(jí)攻擊太多太密集。POODLE、FREAK、Logjam……層出不窮，綿延不斷。為支持老舊設(shè)備，很多 TLS 實(shí)現(xiàn)都支持 90 年代所謂的 “出口加密”——美國(guó)故意弄?dú)埖募用芊绞健Ｃ绹?guó)國(guó)家安全局 (NSA) 對(duì)出口海外的加密強(qiáng)度設(shè)了限制。用 Censys 一搜就可以知道，直到最近，誘騙 Web 服務(wù)器認(rèn)為客戶端僅支持古早加密套件依然是相當(dāng)有效的攻擊方式，數(shù)百萬(wàn)網(wǎng)站都會(huì)中招。

最好只啟用安全的加密，如果必須忍受較弱的加密，衡量下為極少數(shù)用戶的可用性而喪失*全部*用戶的機(jī)密性與完整性值不值得。

想分析驗(yàn)證自身 TLS 證書當(dāng)前支持的加密套件及其安全性，可以考慮從 Qualys SSL Labs 的在線測(cè)試入手。

4. 更短的有效時(shí)間

破壞正確配置部署的 TLS 證書安全性最簡(jiǎn)單的方法，就是黑進(jìn)服務(wù)器并盜取私鑰。常規(guī)密鑰輪轉(zhuǎn)可以確保密鑰盜竊不意味著全盤皆輸，并將傷害控制在最大入侵時(shí)間窗口內(nèi)。專家建議密鑰輪轉(zhuǎn)時(shí)間間隔在 60-90 天為宜，Let's Encrypt 強(qiáng)制要求最長(zhǎng)不超過(guò) 90 天。

然而，行業(yè)標(biāo)準(zhǔn)依然允許長(zhǎng)達(dá) 2 年(825天)的密鑰有效期，這還是 2018 年才從之前的最長(zhǎng) 3 年減下來(lái)的。千萬(wàn)別以最低標(biāo)準(zhǔn)要求自己。時(shí)至今日，密鑰 30 天一輪轉(zhuǎn)不稀奇。逼迫攻擊者要么長(zhǎng)期駐留，要么經(jīng)常入侵服務(wù)器盜取新密鑰，可以增加抓到攻擊者的概率。就算擋不住最危險(xiǎn)的黑客團(tuán)伙，至少可以讓他們沒(méi)那么輕松就可以揚(yáng)長(zhǎng)而去。

5. 避免跨多個(gè)設(shè)備使用通用證書

如果私鑰部署在多個(gè)設(shè)備上，比如 Web 服務(wù)器、電子郵件服務(wù)器、影印機(jī)、打印機(jī)和一些物聯(lián)網(wǎng)設(shè)備，那黑掉服務(wù)器盜取 TLS 密鑰就相當(dāng)容易了。現(xiàn)如今攻擊界面無(wú)比龐大，攻擊者僅需找出最脆弱的設(shè)備便可順藤摸瓜直搗黃龍，黑一臺(tái)復(fù)印機(jī)拿到私鑰顯然比直接黑服務(wù)器來(lái)得容易得多。

私鑰所處的地方越多，攻擊者盜取私鑰解密所有信息的過(guò)程就越輕松。所以，千萬(wàn)別圖省事只用一個(gè)私鑰打天下。只要有條件，私鑰應(yīng)每個(gè)設(shè)備配一個(gè)。

沒(méi)有所謂的 “攻擊免疫” 組織機(jī)構(gòu)。即便是英國(guó)政府通信總部 (GCHQ)，也曾因一個(gè)通用 TLS 證書敗走麥城。

糟糕的 TLS 部署操作會(huì)向嗅覺(jué)靈敏的攻擊者透露很多有關(guān)你公司的信息，每周掃描整個(gè) IPv4 網(wǎng)段的監(jiān)管機(jī)構(gòu)和網(wǎng)絡(luò)安全保險(xiǎn)公司同樣可借此了解你的安全合規(guī)狀況。如果連 TLS 證書都懶得正確部署，可以想見(jiàn)其他基礎(chǔ)設(shè)施的安全狀況也好不到哪兒去。很多人都在四處嗅探你的安全情況，其中一些可沒(méi)那么友好。必要的門面工作要做好，嚇阻總比事后補(bǔ)救來(lái)得方便。

Qualys SSL Labs 在線測(cè)試網(wǎng)址：https://www.ssllabs.com/ssltest/

名稱欄目：五大建議安全部署TLS證書
網(wǎng)頁(yè)地址：http://www.5511xx.com/article/dpjsdoi.html