當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 湖南OA系統(tǒng) > 長(zhǎng)沙OA系統(tǒng) > 長(zhǎng)沙OA軟件行業(yè)資訊
網(wǎng)銀SSL證書部署注意漏洞
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
文章來(lái)源:泛普軟件部署SSL證書是保證網(wǎng)銀系統(tǒng)和電子商務(wù)網(wǎng)站機(jī)密信息傳輸安全的最有效、最安全的解決方案,也是最簡(jiǎn)單的解決方案(因?yàn)橐呀?jīng)標(biāo)準(zhǔn)化、所有軟件都支持)。但是,用戶往往最容易忽略SSL證書是否得到正確配置,而不安全的配置將導(dǎo)致安全漏洞,給重要系統(tǒng)帶來(lái)巨大安全隱患。
根據(jù)WoSign最新推出的“SSL證書免費(fèi)健康體檢系統(tǒng)”的測(cè)試結(jié)果表明:我國(guó)所有已經(jīng)部署了SSL證書的網(wǎng)銀系統(tǒng)和第三方支付系統(tǒng)的服務(wù)器都有不同程度的SSL安全配置問(wèn)題(有些甚至囊括了所有已知的安全漏洞),主要涉及以下幾個(gè)方面的問(wèn)題:
1.許多網(wǎng)銀網(wǎng)站都沒(méi)有關(guān)閉不安全的傳統(tǒng)SSL通信重新協(xié)商機(jī)制,更談不上補(bǔ)漏支持安全重新協(xié)商機(jī)制了。
美國(guó)信息安全專家Marsh Ray與Steve Dispensa于2009年9月份公開(kāi)了他們發(fā)現(xiàn)的TLS/SSL協(xié)議的安全漏洞,攻擊者可以利用這種漏洞劫持用戶的瀏覽器,并偽裝成合法用戶。由于TLS協(xié)議中的密鑰再協(xié)商功能使得驗(yàn)證服務(wù)器及客戶機(jī)身份的一連串動(dòng)作中存在前后不連貫的問(wèn)題,因此給了攻擊者可乘之機(jī)。不僅如此,這種漏洞還給攻擊者發(fā)起Https攻擊提供了便利,Https協(xié)議是Http與TLS協(xié)議的集合體。
發(fā)現(xiàn)這一漏洞之后,兩位專家很快將其報(bào)告給了網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(ICASI),該聯(lián)盟由微軟、諾基亞、思科、IBM、英特爾和Juniper公司創(chuàng)立,同時(shí)他們還將其報(bào)告給了互聯(lián)網(wǎng)工程任務(wù)組(IETF)以及幾家開(kāi)源的SSL項(xiàng)目組織。2009年9月29日,這些團(tuán)體經(jīng)過(guò)討論后決定推出一項(xiàng)名為Mogul的計(jì)劃,該計(jì)劃將負(fù)責(zé)修補(bǔ)這個(gè)漏洞,計(jì)劃的首要任務(wù)是盡快推出新的協(xié)議擴(kuò)展版,以修復(fù)該漏洞。
微軟于2010年2月11日發(fā)布了第977377號(hào)安全公告《Microsoft 安全公告:TLS/SSL 中的漏洞可能允許欺騙》,要求用戶在受影響的系統(tǒng)上采用禁用TLS和SSL重新協(xié)商支持的替代方法,以幫助保護(hù)連接到此類服務(wù)器的客戶端,免被該漏洞所利用。同時(shí),IETF于2010年2月發(fā)布了新的協(xié)議擴(kuò)展版RFC 5746《Transport Layer Security (TLS) Renegotiation Indication Extension,TLS重新協(xié)商標(biāo)識(shí)擴(kuò)展》。各大服務(wù)器軟件廠商也紛紛推出了支持此擴(kuò)展協(xié)議的補(bǔ)丁,微軟于2010年8月16日發(fā)布了此漏洞的補(bǔ)丁《MS10-049:SChannel 中的漏洞可能允許遠(yuǎn)程代碼執(zhí)行》,凡是允許自動(dòng)升級(jí)的系統(tǒng)都會(huì)自動(dòng)修復(fù)此漏洞,使得系統(tǒng)能支持新的TLS/SSL協(xié)議擴(kuò)展項(xiàng),即支持Secure Renegotiation (安全重新協(xié)商)。Apache服務(wù)器軟件也提供了相應(yīng)的補(bǔ)丁。
但是,這么重大的安全漏洞并沒(méi)有引起國(guó)內(nèi)部署了SSL證書的重要系統(tǒng)的重視和采取相應(yīng)行動(dòng)。所幸的是:如果服務(wù)器采用的是Windows Server系統(tǒng)并支持自動(dòng)升級(jí)的話,微軟已經(jīng)自動(dòng)升級(jí)和修復(fù)了此安全漏洞。但還有許多服務(wù)器軟件并不支持自動(dòng)升級(jí)功能,特別是被廣泛使用的Apache服務(wù)器軟件,必須人工升級(jí)到最新版。
2.有許多網(wǎng)站仍然支持不安全的SSL V2.0協(xié)議。
SSL V2.0協(xié)議是NetScape公司于1995年2月發(fā)布的,由于V2.0版本有許多安全漏洞,所以,1996年緊接著發(fā)布了V3.0版本。目前主流瀏覽器(IE、火狐、谷歌、Safari、Opera等)都已經(jīng)不支持不安全的SSL V2.0協(xié)議。SSL V2.0協(xié)議的主要安全漏洞有:同一加密密鑰用于消息身份驗(yàn)證和加密;弱消息認(rèn)證代碼結(jié)構(gòu)和只支持不安全的MD5摘要算法;SSL握手過(guò)程沒(méi)有采取任何防護(hù),這意味著非常容易遭遇中間人攻擊;雖然使用TCP連接關(guān)閉,以指示數(shù)據(jù)的末尾,但并沒(méi)有明確的會(huì)話關(guān)閉通知(這意味著截?cái)喙羰强赡艿?,攻擊者只需偽造一個(gè)TCP FIN,使得接受方無(wú)法識(shí)別數(shù)據(jù)結(jié)束消息的合法性即可)。
3.有些網(wǎng)站仍然支持不安全的40位和56位加密套件。
破解40位DES算法只需幾秒鐘,破解50位DES算法也只需幾天時(shí)間,但破解128位3DES算法則需要0.25個(gè)10的21次方年才能破解,所以,Web服務(wù)器軟件必須只能支持128位以上的加密套件,而關(guān)閉不安全的40位和56位加密套件。
4.有些網(wǎng)站的SSL證書和/或其根證書都是不安全的1024位公鑰。
微軟和火狐等將于2010年12月31日停止支持1024位公鑰證書,并于2013年12月31日之前刪除所有不安全的、低于2048位的根證書。為了服務(wù)器的安全,必須部署從根證書、中級(jí)根證書和用戶證書整個(gè)證書鏈都是2048位或高于2048位的SSL證書。
5.許多網(wǎng)銀系統(tǒng)都使用自簽證書或其他不支持瀏覽器的SSL證書,幾乎所有自簽證書都存在以上安全問(wèn)題,并且自簽證書很容易假冒和受到中間人攻擊。
為了重要系統(tǒng)的安全,千萬(wàn)不要使用自簽的SSL證書,避免因此產(chǎn)生的巨大安全隱患和安全風(fēng)險(xiǎn),特別是重要的網(wǎng)銀系統(tǒng)、網(wǎng)上證券系統(tǒng)和電子商務(wù)系統(tǒng),一定要選購(gòu)專業(yè)證書頒發(fā)機(jī)構(gòu)頒發(fā)的全球信任的支持瀏覽器的SSL證書,因?yàn)樽C書中許多環(huán)節(jié)的安全問(wèn)題是一般的自簽證書頒發(fā)系統(tǒng)都沒(méi)有很好解決的技術(shù)問(wèn)題。
6.有些網(wǎng)站的SSL證書安裝時(shí)并沒(méi)有安裝中級(jí)根證書。
這對(duì)于IE瀏覽器是沒(méi)有問(wèn)題的,但火狐瀏覽器訪問(wèn)時(shí)會(huì)有安全警告。為了讓用戶能正常訪問(wèn)部署了SSL證書的網(wǎng)站,必須正確安裝中級(jí)根證書。
SSL證書是解決網(wǎng)銀系統(tǒng)和電子商務(wù)網(wǎng)站賬戶登錄安全和賬戶機(jī)密信息安全的惟一可靠技術(shù)手段,但是千萬(wàn)不要以為部署了SSL證書就萬(wàn)事大吉了,不安全的部署可能比不部署還可怕,因?yàn)橛脩艨吹接邪踩i標(biāo)志就以為安全了,實(shí)際上卻存在安全漏洞和安全隱患。望所有部署了SSL證書的網(wǎng)站都使用相關(guān)安全工具來(lái)自查,發(fā)現(xiàn)有哪些安全漏洞后及時(shí)聯(lián)系證書銷售方獲得技術(shù)幫助。
- 1廈門OA軟件
- 2合肥OA軟件行業(yè)資訊
- 3杭州OA軟件
- 4鄭州OA軟件
- 5濟(jì)南OA軟件
- 6青島OA軟件
- 7太原OA軟件
- 8上海OA軟件
- 9上海OA軟件行業(yè)資訊
- 10石家莊OA軟件
- 11天津OA軟件
- 12沈陽(yáng)OA軟件
- 1PaaS云計(jì)算服務(wù)中常見(jiàn)的威脅及處理方法
- 2數(shù)據(jù)中心模塊化三種不同類型
- 3選購(gòu)重復(fù)數(shù)據(jù)刪除方案的五個(gè)指標(biāo)
- 4生物識(shí)別技術(shù)加強(qiáng)身份安全管理
- 5實(shí)施統(tǒng)一存儲(chǔ)
- 6物流企業(yè)如何構(gòu)建BI系統(tǒng)模式?
- 7標(biāo)準(zhǔn)在SOA領(lǐng)域的應(yīng)用
- 8幫你節(jié)省項(xiàng)目開(kāi)發(fā)的7種正在流行編程語(yǔ)言
- 9六步措施保障Web應(yīng)用安全
- 10HTML5給Web帶來(lái)9大改變
- 11協(xié)同OA辦公軟件系統(tǒng)走免費(fèi)的路線,3年內(nèi)找出盈利的模式
- 12存儲(chǔ)自動(dòng)化鋒芒初露
- 13透析構(gòu)建商業(yè)智能考慮7要素
- 142010年數(shù)據(jù)中心網(wǎng)絡(luò):雙層網(wǎng)絡(luò)來(lái)臨
- 15基于無(wú)線寬帶的應(yīng)急指揮車通信應(yīng)用
- 16固態(tài)硬盤取代旋轉(zhuǎn)磁盤,難!
- 17基于主體的商務(wù)智能系統(tǒng)設(shè)計(jì)方法研究
- 18無(wú)線局域網(wǎng)協(xié)議802.11a
- 19高清監(jiān)控存儲(chǔ)瓶頸 H.264欲統(tǒng)一編碼標(biāo)準(zhǔn)
- 20OA辦公軟件系統(tǒng)未來(lái)的成功點(diǎn)在哪里?
- 21云OA辦公系統(tǒng)與社交化OA軟件的區(qū)別
- 22淺議SOA成熟度模型五個(gè)階段
- 23即將走出實(shí)驗(yàn)室的6大IT創(chuàng)新
- 24新一代企業(yè)級(jí)無(wú)線網(wǎng)絡(luò)架構(gòu)綜述
- 25電子認(rèn)證:證書策略路在何方?
- 26CCD還是CMOS 高清攝像機(jī)的成本博弈
- 27統(tǒng)一存儲(chǔ)面臨的挑戰(zhàn)
- 28電子簽名與認(rèn)證:網(wǎng)商應(yīng)用知多少?
- 29服務(wù)器證書 讓釣魚(yú)網(wǎng)站無(wú)法亂真
- 30長(zhǎng)沙OA軟件的信息門戶的應(yīng)用需求
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓