SSL加密是Web应用程序安全的基础,它们为计算机网络提供通信数据加密、数据完整性校验和通信方身份认证功能,保护通信安全隐私。不过,只有正确配置SSL加密,才能真正发挥HTTPS加密的作用。
安全测试机构ImmuniWeb日前发布安全评测报告显示,仍有很多大型金融银行机构站点和移动应用SSL加密评测未达到安全标准,出现严重配置错误或未采用SSL加密等情况。评测中共有40家机构的评价结果为A,20家机构为B,还有31家机构被评为C。在电子银行方面,获得A+评价的机构略多一些,达到15家;A为27家;B为13家;C为40家。另外还有7家机构获得F评价,代表被发现存在可利用的公开安全漏洞。
而另一项针对公共云服务的安全性评测中显示,公网中61%的公共云主机仍然使用TLSV1.1或更旧版本。目前行业标准要求TLS协议应用V1.2以上版本,避免早期版本协议中已存在的漏洞被攻击者利用,一些严重的漏洞可造成中间人攻击。
沃通CA建议,不管使用何种 SSL证书类型, SSL加密都应按照最高级别的安全性完成证书配置,以确保HTTPS加密安全性能:
1)更新TLS协议:使用TLS v1.2或更高版本,关闭低版本不安全的加密协议;
2)修复TLS软件抵御漏洞攻击:实施漏洞攻击(如OpenSSL中的Heartbleed漏洞)可能带来严重风险。保持TLS软件保持最新更新状态,确保及时修复漏洞,防止漏洞攻击。
3)配置安全加密套件:除了配置更高版本的TLS协议外,确保支持安全的TLS密码套件和密钥大小,并禁用其他不安全的密码套件。
4)检查证书(通用名称,密钥大小/类型,证书透明度,有效期):这些检查确保公共名称语法正确,密钥大小满足最小长度要求,密钥类型有效,包含证书透明度时间戳,有效期不超过允许的最大值;
5) 检查证书链、中间CA和根CA:这些检查验证证书是否具有正确的链,并且链向已知的中间根和公开信任的根;
6)设置全站强制HTTPS加密,确保所有流量都通过HTTPS加密传输。