監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

網(wǎng)銀SSL證書部署注意漏洞

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來(lái)源:泛普軟件

部署SSL證書是保證網(wǎng)銀系統(tǒng)和電子商務(wù)網(wǎng)站機(jī)密信息傳輸安全的最有效、最安全的解決方案,也是最簡(jiǎn)單的解決方案(因?yàn)橐呀?jīng)標(biāo)準(zhǔn)化、所有軟件都支持)。但是,用戶往往最容易忽略SSL證書是否得到正確配置,而不安全的配置將導(dǎo)致安全漏洞,給重要系統(tǒng)帶來(lái)巨大安全隱患。

根據(jù)WoSign最新推出的“SSL證書免費(fèi)健康體檢系統(tǒng)”的測(cè)試結(jié)果表明:我國(guó)所有已經(jīng)部署了SSL證書的網(wǎng)銀系統(tǒng)和第三方支付系統(tǒng)的服務(wù)器都有不同程度的SSL安全配置問(wèn)題(有些甚至囊括了所有已知的安全漏洞),主要涉及以下幾個(gè)方面的問(wèn)題:

1.許多網(wǎng)銀網(wǎng)站都沒(méi)有關(guān)閉不安全的傳統(tǒng)SSL通信重新協(xié)商機(jī)制,更談不上補(bǔ)漏支持安全重新協(xié)商機(jī)制了。

美國(guó)信息安全專家Marsh Ray與Steve Dispensa于2009年9月份公開(kāi)了他們發(fā)現(xiàn)的TLS/SSL協(xié)議的安全漏洞,攻擊者可以利用這種漏洞劫持用戶的瀏覽器,并偽裝成合法用戶。由于TLS協(xié)議中的密鑰再協(xié)商功能使得驗(yàn)證服務(wù)器及客戶機(jī)身份的一連串動(dòng)作中存在前后不連貫的問(wèn)題,因此給了攻擊者可乘之機(jī)。不僅如此,這種漏洞還給攻擊者發(fā)起Https攻擊提供了便利,Https協(xié)議是Http與TLS協(xié)議的集合體。

發(fā)現(xiàn)這一漏洞之后,兩位專家很快將其報(bào)告給了網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(ICASI),該聯(lián)盟由微軟、諾基亞、思科、IBM、英特爾和Juniper公司創(chuàng)立,同時(shí)他們還將其報(bào)告給了互聯(lián)網(wǎng)工程任務(wù)組(IETF)以及幾家開(kāi)源的SSL項(xiàng)目組織。2009年9月29日,這些團(tuán)體經(jīng)過(guò)討論后決定推出一項(xiàng)名為Mogul的計(jì)劃,該計(jì)劃將負(fù)責(zé)修補(bǔ)這個(gè)漏洞,計(jì)劃的首要任務(wù)是盡快推出新的協(xié)議擴(kuò)展版,以修復(fù)該漏洞。

微軟于2010年2月11日發(fā)布了第977377號(hào)安全公告《Microsoft 安全公告:TLS/SSL 中的漏洞可能允許欺騙》,要求用戶在受影響的系統(tǒng)上采用禁用TLS和SSL重新協(xié)商支持的替代方法,以幫助保護(hù)連接到此類服務(wù)器的客戶端,免被該漏洞所利用。同時(shí),IETF于2010年2月發(fā)布了新的協(xié)議擴(kuò)展版RFC 5746《Transport Layer Security (TLS) Renegotiation Indication Extension,TLS重新協(xié)商標(biāo)識(shí)擴(kuò)展》。各大服務(wù)器軟件廠商也紛紛推出了支持此擴(kuò)展協(xié)議的補(bǔ)丁,微軟于2010年8月16日發(fā)布了此漏洞的補(bǔ)丁《MS10-049:SChannel 中的漏洞可能允許遠(yuǎn)程代碼執(zhí)行》,凡是允許自動(dòng)升級(jí)的系統(tǒng)都會(huì)自動(dòng)修復(fù)此漏洞,使得系統(tǒng)能支持新的TLS/SSL協(xié)議擴(kuò)展項(xiàng),即支持Secure Renegotiation (安全重新協(xié)商)。Apache服務(wù)器軟件也提供了相應(yīng)的補(bǔ)丁。

但是,這么重大的安全漏洞并沒(méi)有引起國(guó)內(nèi)部署了SSL證書的重要系統(tǒng)的重視和采取相應(yīng)行動(dòng)。所幸的是:如果服務(wù)器采用的是Windows Server系統(tǒng)并支持自動(dòng)升級(jí)的話,微軟已經(jīng)自動(dòng)升級(jí)和修復(fù)了此安全漏洞。但還有許多服務(wù)器軟件并不支持自動(dòng)升級(jí)功能,特別是被廣泛使用的Apache服務(wù)器軟件,必須人工升級(jí)到最新版。

2.有許多網(wǎng)站仍然支持不安全的SSL V2.0協(xié)議。

SSL V2.0協(xié)議是NetScape公司于1995年2月發(fā)布的,由于V2.0版本有許多安全漏洞,所以,1996年緊接著發(fā)布了V3.0版本。目前主流瀏覽器(IE、火狐、谷歌、Safari、Opera等)都已經(jīng)不支持不安全的SSL V2.0協(xié)議。SSL V2.0協(xié)議的主要安全漏洞有:同一加密密鑰用于消息身份驗(yàn)證和加密;弱消息認(rèn)證代碼結(jié)構(gòu)和只支持不安全的MD5摘要算法;SSL握手過(guò)程沒(méi)有采取任何防護(hù),這意味著非常容易遭遇中間人攻擊;雖然使用TCP連接關(guān)閉,以指示數(shù)據(jù)的末尾,但并沒(méi)有明確的會(huì)話關(guān)閉通知(這意味著截?cái)喙羰强赡艿?,攻擊者只需偽造一個(gè)TCP FIN,使得接受方無(wú)法識(shí)別數(shù)據(jù)結(jié)束消息的合法性即可)。

3.有些網(wǎng)站仍然支持不安全的40位和56位加密套件。

破解40位DES算法只需幾秒鐘,破解50位DES算法也只需幾天時(shí)間,但破解128位3DES算法則需要0.25個(gè)10的21次方年才能破解,所以,Web服務(wù)器軟件必須只能支持128位以上的加密套件,而關(guān)閉不安全的40位和56位加密套件。

4.有些網(wǎng)站的SSL證書和/或其根證書都是不安全的1024位公鑰。

微軟和火狐等將于2010年12月31日停止支持1024位公鑰證書,并于2013年12月31日之前刪除所有不安全的、低于2048位的根證書。為了服務(wù)器的安全,必須部署從根證書、中級(jí)根證書和用戶證書整個(gè)證書鏈都是2048位或高于2048位的SSL證書。

5.許多網(wǎng)銀系統(tǒng)都使用自簽證書或其他不支持瀏覽器的SSL證書,幾乎所有自簽證書都存在以上安全問(wèn)題,并且自簽證書很容易假冒和受到中間人攻擊。

為了重要系統(tǒng)的安全,千萬(wàn)不要使用自簽的SSL證書,避免因此產(chǎn)生的巨大安全隱患和安全風(fēng)險(xiǎn),特別是重要的網(wǎng)銀系統(tǒng)、網(wǎng)上證券系統(tǒng)和電子商務(wù)系統(tǒng),一定要選購(gòu)專業(yè)證書頒發(fā)機(jī)構(gòu)頒發(fā)的全球信任的支持瀏覽器的SSL證書,因?yàn)樽C書中許多環(huán)節(jié)的安全問(wèn)題是一般的自簽證書頒發(fā)系統(tǒng)都沒(méi)有很好解決的技術(shù)問(wèn)題。

6.有些網(wǎng)站的SSL證書安裝時(shí)并沒(méi)有安裝中級(jí)根證書。

這對(duì)于IE瀏覽器是沒(méi)有問(wèn)題的,但火狐瀏覽器訪問(wèn)時(shí)會(huì)有安全警告。為了讓用戶能正常訪問(wèn)部署了SSL證書的網(wǎng)站,必須正確安裝中級(jí)根證書。

SSL證書是解決網(wǎng)銀系統(tǒng)和電子商務(wù)網(wǎng)站賬戶登錄安全和賬戶機(jī)密信息安全的惟一可靠技術(shù)手段,但是千萬(wàn)不要以為部署了SSL證書就萬(wàn)事大吉了,不安全的部署可能比不部署還可怕,因?yàn)橛脩艨吹接邪踩i標(biāo)志就以為安全了,實(shí)際上卻存在安全漏洞和安全隱患。望所有部署了SSL證書的網(wǎng)站都使用相關(guān)安全工具來(lái)自查,發(fā)現(xiàn)有哪些安全漏洞后及時(shí)聯(lián)系證書銷售方獲得技術(shù)幫助。

發(fā)布:2007-04-21 11:06    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:

泛普長(zhǎng)沙OA軟件行業(yè)資訊其他應(yīng)用

長(zhǎng)沙OA 長(zhǎng)沙新聞動(dòng)態(tài) 長(zhǎng)沙OA信息化 長(zhǎng)沙OA快博 長(zhǎng)沙OA軟件行業(yè)資訊 長(zhǎng)沙軟件開(kāi)發(fā)公司 長(zhǎng)沙門禁系統(tǒng) 長(zhǎng)沙物業(yè)管理軟件 長(zhǎng)沙倉(cāng)庫(kù)管理軟件 長(zhǎng)沙餐飲管理軟件 長(zhǎng)沙網(wǎng)站建設(shè)公司