SSL漏洞:企业如何生成可信SSL证书(下)

日期: 2010-12-01 作者:Nick Lewis翻译:Sean 来源:TechTarget中国 英文

企业SSL防御策略   要使企业和用户抵御来自SSL的威胁,就需要了解企业在哪些地方使用了SSL,以及是如何使用的。这项工作可以使用与EFF和Qualys类似的方法,除此之外还有另外两种方法:监测网络流量,或者在客户端和服务器软件上执行应用程序详细清单(inventories)。在这一步完成后,你首先需要认识到,除非自己的企业在PKI(公钥基础设施)和SSL使用方面经验丰富,否则使用行业标准的SSL或认证中心是不明智的,因为它们极易导致SSL的配置问题。在客户端这一方面,你还需要使用最新的软件和安全配置(其中默认的可信赖认证中心清单是时刻更新的),才能预防由于SSL漏洞导致的攻击。

如果企业确实……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

企业SSL防御策略

  要使企业和用户抵御来自SSL的威胁,就需要了解企业在哪些地方使用了SSL,以及是如何使用的。这项工作可以使用与EFF和Qualys类似的方法,除此之外还有另外两种方法:监测网络流量,或者在客户端和服务器软件上执行应用程序详细清单(inventories)。在这一步完成后,你首先需要认识到,除非自己的企业在PKI(公钥基础设施)和SSL使用方面经验丰富,否则使用行业标准的SSL或认证中心是不明智的,因为它们极易导致SSL的配置问题。在客户端这一方面,你还需要使用最新的软件和安全配置(其中默认的可信赖认证中心清单是时刻更新的),才能预防由于SSL漏洞导致的攻击。如果企业确实有使用复杂SSL配置的必要(例如使用SSL加速器和只支持某种类型认证的智能卡),并且拥有处理这种复杂配置的专业知识,那么这项配置需要小心地管理,因为SSL会导致不安全的配置,这一点在上述的报告中已经证明了。

  最后一项控制只涉及授权(白名单)企业使用的浏览器中所部署的必要认证中心,可以抵制来自潜在恶意认证中心的攻击。然而,这可能需要花费很大的精力,不仅要发现这些必要的认证中心是什么,还要禁用其他的认证中心。

  用户可以在一开始就使用Qualys SSL实验室报告中所提出的17种可信赖的SSL证书授予机构,随后再根据自己的需要进行添加。同时,可以考虑使用扩展验证证书,因为扩展验证证书与当前标准的证书相比提供了更高的安全保证。当前的标准证书不仅要考虑授予证书的认证中心,还要考虑向网络浏览器表明所访问网站的合法性。但是,EV(扩展验证)证书不会这么麻烦,它会帮助用户区分不同类型的证书,以及这些证书的授予单位。升级后安全性更高的浏览器会在地址栏上显示一个绿条,以表明使用了扩展验证证书。

  结论

  虽然SSL的安全风险日益严重,但是SSL/TLS协议一直在改进,服务器和客户系统也致力于应对这些漏洞和攻击。操作系统和应用程序供应商所附带的SSL管理和支持工具的性能有了大幅度的提高。这些工具被用户广泛的应用于维护SSL的安全性以及它的相关系统,这些做法对保护互联网隐私是极其重要的。企业应当经常关注人们对认证中心的讨论,从而获悉在浏览器的证书信任名单中哪些认证中心是默认的,从而避免那些不信任的认证中心被添加在信任名单中。

  SSL漏洞:企业如何生成可信SSL证书(上)

作者

Nick Lewis
Nick Lewis

Nick Lewis是 Internet2项目经理,曾任Saint Louis大学信息安全官。

翻译

Sean
Sean

相关推荐