2016-09-18 分類: 網站建設
SSL2.0 早就被證明是不安全的協議了,統計發現目前已經沒有客戶端支持 SSL2.0,所以可以放心地在服務端禁用 SSL2.0 協議。
2014 年爆發了 POODLE 攻擊,SSL3.0 因此被證明是不安全的。但是統計發現依然有 0.5% 的流量只支持 SSL3.0。所以只能有選擇地支持 SSL3.0。
TLS1.1 及 1.2 目前為止沒有發現安全漏洞,建議優先支持。
加密套件包含四個部分:
非對稱密鑰交換算法。建議優先使用 ECDHE,禁用 DHE,次優先選擇 RSA。
證書簽名算法。由于部分瀏覽器及操作系統不支持 ECDSA 簽名,目前默認都是使用 RSA 簽名,其中 SHA1 簽名已經不再安全,chrome 及微軟 2016 年開始不再支持 SHA1 簽名的證書
對稱加解密算法。優先使用 AES-GCM 算法,針對 1.0 以上協議禁用 RC4( rfc7465)。
內容一致性校驗算法。Md5 和 sha1 都已經不安全,建議使用 sha2 以上的安全哈希函數。
降級攻擊一般包括兩種:加密套件降級攻擊 (cipher suite rollback) 和協議降級攻擊(version roll back)。降級攻擊的原理就是攻擊者偽造或者修改 client hello 消息,使得客戶端和服務器之間使用比較弱的加密套件或者協議完成通信。
為了應對降級攻擊,現在 server 端和瀏覽器之間都實現了 SCSV 功能,原理參考
一句話解釋就是如果客戶端想要降級,必須發送 TLS_SCSV 的信號,服務器如果看到 TLS_SCSV,就不會接受比服務端高協議版本低的協議。
重新協商(tls renegotiation)分為兩種:加密套件重協商 (cipher suite renegotiation) 和協議重協商(protocol renegotiation)。
重新協商會有兩個隱患:
重協商后使用弱的安全算法。這樣的后果就是傳輸內容很容易泄露。
重協商過程中不斷發起完全握手請求,觸發服務端進行高強度計算并引發服務拒絕。 對于重協商,最直接的保護手段就是禁止客戶端主動重協商,當然出于特殊場景的需求,應該允許服務端主動發起重協商。
文章名稱:HTTPS 安全配置
路徑分享:http://m.newbst.com/news14/46464.html
成都網站建設公司_創新互聯,為您提供Google、網頁設計公司、App開發、虛擬主機、云服務器、網站內鏈
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容