HTTPS 安全配置

協(xié)議版本選擇

SSL2.0 早就被證明是不安全的協(xié)議了，統(tǒng)計(jì)發(fā)現(xiàn)目前已經(jīng)沒(méi)有客戶端支持 SSL2.0，所以可以放心地在服務(wù)端禁用 SSL2.0 協(xié)議。
2014 年爆發(fā)了 POODLE 攻擊，SSL3.0 因此被證明是不安全的。但是統(tǒng)計(jì)發(fā)現(xiàn)依然有 0.5% 的流量只支持 SSL3.0。所以只能有選擇地支持 SSL3.0。
TLS1.1 及 1.2 目前為止沒(méi)有發(fā)現(xiàn)安全漏洞，建議優(yōu)先支持。

加密套件選擇

加密套件包含四個(gè)部分：

1. 非對(duì)稱密鑰交換算法。建議優(yōu)先使用 ECDHE，禁用 DHE，次優(yōu)先選擇 RSA。

2. 證書(shū)簽名算法。由于部分瀏覽器及操作系統(tǒng)不支持 ECDSA 簽名，目前默認(rèn)都是使用 RSA 簽名，其中 SHA1 簽名已經(jīng)不再安全，chrome 及微軟 2016 年開(kāi)始不再支持 SHA1 簽名的證書(shū)

3. 對(duì)稱加解密算法。優(yōu)先使用 AES-GCM 算法，針對(duì) 1.0 以上協(xié)議禁用 RC4（ rfc7465）。

4. 內(nèi)容一致性校驗(yàn)算法。Md5 和 sha1 都已經(jīng)不安全，建議使用 sha2 以上的安全哈希函數(shù)。

HTTPS 防攻擊

防止協(xié)議降級(jí)攻擊

降級(jí)攻擊一般包括兩種：加密套件降級(jí)攻擊 (cipher suite rollback) 和協(xié)議降級(jí)攻擊（version roll back）。降級(jí)攻擊的原理就是攻擊者偽造或者修改 client hello 消息，使得客戶端和服務(wù)器之間使用比較弱的加密套件或者協(xié)議完成通信。
為了應(yīng)對(duì)降級(jí)攻擊，現(xiàn)在 server 端和瀏覽器之間都實(shí)現(xiàn)了 SCSV 功能，原理參考 
一句話解釋就是如果客戶端想要降級(jí)，必須發(fā)送 TLS_SCSV 的信號(hào)，服務(wù)器如果看到 TLS_SCSV，就不會(huì)接受比服務(wù)端高協(xié)議版本低的協(xié)議。

防止重新協(xié)商攻擊

重新協(xié)商（tls renegotiation）分為兩種：加密套件重協(xié)商 (cipher suite renegotiation) 和協(xié)議重協(xié)商（protocol renegotiation）。
重新協(xié)商會(huì)有兩個(gè)隱患：

1. 重協(xié)商后使用弱的安全算法。這樣的后果就是傳輸內(nèi)容很容易泄露。

2. 重協(xié)商過(guò)程中不斷發(fā)起完全握手請(qǐng)求，觸發(fā)服務(wù)端進(jìn)行高強(qiáng)度計(jì)算并引發(fā)服務(wù)拒絕。 對(duì)于重協(xié)商，最直接的保護(hù)手段就是禁止客戶端主動(dòng)重協(xié)商，當(dāng)然出于特殊場(chǎng)景的需求，應(yīng)該允許服務(wù)端主動(dòng)發(fā)起重協(xié)商。

文章名稱：HTTPS 安全配置
路徑分享：http://www.muchs.cn/news14/46464.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、網(wǎng)頁(yè)設(shè)計(jì)公司、App開(kāi)發(fā)、虛擬主機(jī)、云服務(wù)器、網(wǎng)站內(nèi)鏈

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)