2020年及以后的SSL证书优秀做法

SSL及其后续版本TLS是基于加密的互联网安全协议，可为互联网通信提供隐私、身份验证和数据完整性，从而保护用户免受窃听、中间人攻击和劫持攻击。

但是，SSL证书的安全性状态受到质疑-从协议中的缺陷到攻击者在请求期间重定向网络流量，再到证书颁发机构无法正确验证域所有权。

[[324661]]

尽管SSL / TLS证书的安全性正在不断提高，但是网站所有者和用户需要逐渐地意识到证书不能保证网站的可信赖性。不过，企业可以采取很多额外步骤来提高其证书和网站的安全性。

在本文中，我们将介绍SSL证书安全性的状态、它们所面临的漏洞以及确保其安全的SSL证书管理优秀实践。

SSL证书安全性

现在，超过80%的互联网流量都已加密。SSL Pulse提供15万个已启用SSL和TLS的网站的仪表板视图，以显示这些网站的SSL / TLS支持情况，这些网站来自Amazon Alexa的全球最受欢迎站点列表。SSL Pulse还提供深度视图，以展示用户连接到这些最繁忙站点时的安全情况。

在所列网站中，近100%的网站可很好地抵御BEAST、DROWN和ROBOT等攻击，这些攻击主要利用与SSL功能相关的各种协议中的漏洞。但对于Zombie POODLE、GOLDENDOODLE、Sleeping POODLE和0长度padding oracle攻击，这个数据下降到95%以下。鉴于SSL Pulse的统计数据是针对世界上排名最高(且管理得最好)的网站，因此，从更广阔的互联网空间来看，易受攻击的网站的总体百分比可能会高得多。

检查版本和算法

当前SSL证书安全性的状态的原因?很多站点易受攻击的主要原因是配置错误的服务器。企业应例行检查服务器的设置并扫描其SSL证书，以确保它们已正确安装并使用推荐的协议和算法，尤其是对于面向互联网的服务。

GlobalSign和Qualys CertView等免费服务可以扫描面向互联网的证书并报告其安全性，并提供有关如何提高其安全等级的建议。很多证书配置等级可轻松被提高，例如通过禁用服务器上的SSL和TLS 1.0以及包含已知漏洞的所有加密算法。支持旧版本的SSL和TLS会使站点及其用户容易遭受降级攻击，这涉及黑客使用已知漏洞的旧协议版本强制连接到服务器。

主要浏览器已正式取消对TLS版本1.0和1.1的支持。虽然1.1和1.2版本没有已知的漏洞，但是TLS 1.3应该是首选协议，可确保站点仅使用最强大的算法和密码。TLS 1.3删除了以前的TLS版本中的很多有问题的选项，并且仅包括对没有已知漏洞的算法的支持。

检查到期日期

SSL证书并不是“一劳永逸”的安全控制。它们具有到期日期并且可以被吊销，因此必须采用SSL证书管理最佳实践来跟踪证书，并使安全团队了解最新的情况—无论好坏。

由于其域所有权验证方面存在漏洞，证书颁发机构Let’s Encrypt最近不得不吊销超过300万个TLS证书。域验证是证书颁发机构用来确保证书申请人控制其域的过程。对于受证书吊销影响的网站所有者(你可以点击此处检查Let’s Encrypt证书的状态)，如果不请求新证书，则会发现其吊销的证书正在触发浏览器和应用程序错误，从而导致连接失败并会影响可用性-这可能会影响用户的信心和品牌声誉。

此外，自2020年9月1日起，Apple的Safari浏览器将不再信任有效期超过398天的证书，其他浏览器也可能会效仿。缩短有效期可缩短可以利用已感染或伪造证书的时间。因此，使用过期加密算法或协议的所有证书都需要尽快更换。

企业可使用NetScanTools的SSL证书扫描仪或XenArmor Network SSL Certificate Scanner等工具定期扫描证书，这可通过标记过期、即将到期或吊销的证书来防止出现问题。

Let’s Encrypt正在进一步改进域验证过程，以防止攻击者在质询请求或相关的DNS查询期间劫持或重定向网络流量，并欺骗证书颁发机构以不正确的方式颁发证书。普林斯顿大学的研究小组证明，通过使用边界网关协议的不安全部署，这种攻击可以取得成功。为防止这种情况的发生，Let’s Encrypt现在正从多个角度以及从其自己的数据中心验证域，这意味着攻击者需要同时成功破坏三个不同的网络路径。

扩展验证证书

企业可以证明域所有权的另一种方法是通过购买扩展验证(EV)SSL证书。与标准域证书相比，它们对身份验证的要求更严格。但是，在利用有效EV证书指标保护用户免受恶意网站侵害方面，网络浏览器公司做法各有不同。例如，Microsoft Edge在地址栏中显示带有绿色锁和公司名称的EV证书，但是Google和Mozilla不再这样做，并指出研究表明这些指标“不能再按预期保护用户”。

令人担忧的是，越来越多的网络钓鱼攻击利用真实的SSL证书使其恶意网站具有合法性。我们没有任何措施可以防止恶意IP地址获得真实的SSL证书。不过，由于EV证书需要更严格的身份验证，因此更少的用户会沦为此类网络钓鱼攻击的受害者。