免费观看又色又爽又黄的小说免费_美女福利视频国产片_亚洲欧美精品_美国一级大黄大色毛片

HTTPS 安全配置

2016-09-18    分類: 網站建設

協議版本選擇

SSL2.0 早就被證明是不安全的協議了,統計發現目前已經沒有客戶端支持 SSL2.0,所以可以放心地在服務端禁用 SSL2.0 協議。
2014 年爆發了 POODLE 攻擊,SSL3.0 因此被證明是不安全的。但是統計發現依然有 0.5% 的流量只支持 SSL3.0。所以只能有選擇地支持 SSL3.0。
TLS1.1 及 1.2 目前為止沒有發現安全漏洞,建議優先支持。

加密套件選擇

加密套件包含四個部分:

  1. 非對稱密鑰交換算法。建議優先使用 ECDHE,禁用 DHE,次優先選擇 RSA。

  2. 證書簽名算法。由于部分瀏覽器及操作系統不支持 ECDSA 簽名,目前默認都是使用 RSA 簽名,其中 SHA1 簽名已經不再安全,chrome 及微軟 2016 年開始不再支持 SHA1 簽名的證書

  3. 對稱加解密算法。優先使用 AES-GCM 算法,針對 1.0 以上協議禁用 RC4( rfc7465)。

  4. 內容一致性校驗算法。Md5 和 sha1 都已經不安全,建議使用 sha2 以上的安全哈希函數。

HTTPS 防攻擊

防止協議降級攻擊

降級攻擊一般包括兩種:加密套件降級攻擊 (cipher suite rollback) 和協議降級攻擊(version roll back)。降級攻擊的原理就是攻擊者偽造或者修改 client hello 消息,使得客戶端和服務器之間使用比較弱的加密套件或者協議完成通信。
為了應對降級攻擊,現在 server 端和瀏覽器之間都實現了 SCSV 功能,原理參考 
一句話解釋就是如果客戶端想要降級,必須發送 TLS_SCSV 的信號,服務器如果看到 TLS_SCSV,就不會接受比服務端高協議版本低的協議。

防止重新協商攻擊

重新協商(tls renegotiation)分為兩種:加密套件重協商 (cipher suite renegotiation) 和協議重協商(protocol renegotiation)。
重新協商會有兩個隱患:

  1. 重協商后使用弱的安全算法。這樣的后果就是傳輸內容很容易泄露。

  2. 重協商過程中不斷發起完全握手請求,觸發服務端進行高強度計算并引發服務拒絕。 對于重協商,最直接的保護手段就是禁止客戶端主動重協商,當然出于特殊場景的需求,應該允許服務端主動發起重協商。

文章題目:HTTPS 安全配置
網站地址:http://m.newbst.com/news/46464.html

成都網站建設公司_創新互聯,為您提供外貿建站自適應網站ChatGPT面包屑導航網站收錄、網站導航

廣告

聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯

成都做網站