许多用户和一些企业过分得依赖SSL,认为SSL是网络安全的万能药。然而,在网站上使用SSL时并不能使企业免受所有网络安全漏洞的影响,即使在最佳的情况下SSL也只是在客户和服务器之间提供了加密的链接。在这篇文章中,我们将讲述为何企业应该仔细评估SSL最新漏洞对计算环境可能造成的风险,以及应该采用哪些措施来降低这些风险。
SSL现状:SSL漏洞和攻击
SSL是在1994年由Netscape(美国网景公司)研发的,目的是为新兴通讯媒介(即因特网)上的电子商务建立起安全的连接。自那时起,人们又对SSL进行了几次改进,例如传输层安全协议(TLS),但是SSL仍存在许多漏洞和攻击。Defcon 2010上的EFF SSL考察计划(SSL Observatory Project),以及在2010黑帽安全大会上Qualys公司的SSL实验室报告,都向人们展示了当前SSL所存在的不足。
作为研究的一部分,EFF项目收集了在互联网上使用的SSL证书,并记录了SSL客户和服务器之间的一些有趣行为。其中一个最大的发现是:有大量使用SSL的服务器和认证中心(CA)存在安全隐患,极易受到透明的中间人(man-in-the-middle)攻击。而这些服务器和认证中心中的大部分仍然被他们的企业用户所信赖。
来自Qualys公司SSL实验室的报告专注于密码选择、SSL协议以及目前SSL在互联网上应用时存在的不足。报告中很重要的一点是:网络浏览器只需安装10到20个根(root)证书授予机构就可以在大多数网站上使用SSL功能,而不是像IE和Firefox一样将所有的认证中心设为默认。那些狡猾、有野心的攻击者会选择攻击这十多个CA,而每个CA都可以为DNS(域名服务器)进行认证,所以攻击能在网络上造成巨大的危害,这确实是一件值得关注的事。
该报告记录描述了使用认证度低的证书会造成的攻击,这些证书是在DebianLinux操作系统中生成的,它们在OpenSSL补丁发布之前生成,该补丁可以移除证书中存在的一项问题。这些证书的危害在于,它们能够导致中间人攻击、碰撞攻击(collision attacks),还有黑客暴力破解认证中心根密钥以伪造任何类型的证书进而导致的攻击。SSL renegotiation漏洞也可以被黑客利用,进而控制SSL的链接。
知晓何种配置易受攻击,确定一个企业的特定风险,这些工作都比较困难,尤其是现在SSL的设置越来越复杂。目前许多SSL设置都包括负载均衡、通配型证书等。所以说,企业目前所面临的威胁不是微不足道的,但确定哪些系统易受攻击这一点还是可以做到的。
利用上述研究小组的新成果,黑客不仅能够确定一家企业的SSL服务器,还可以获知SSL在这些服务器上的使用情况。一旦黑客发现某台SSL服务器的安全性较低,他就可以利用这一点发起攻击(如中间人攻击),从而对SSL上的网络流量进行查看和操控。这些攻击还能危及其他的协议,所以为了安全起见,用户还可以使用与EFF和Qualys研究人员同样的方法,扩大对这些危害的了解深度,去研究其他一些使用了SSL的非HTTP协议,例如IMAP、SMTP等。这样能够更深入认识服务器上SSL的使用情况,这样才能帮助你了解在加密过程中哪些地方使用了安全性低的证书和协议,以及黑客可能会在系统的哪些地方发起攻击。
要确定客户是否容易受到上述攻击的威胁,可以检测目前所使用的浏览器版本,有两种方法:被动流量分析或检查客户端。这项检测有助于确定SSL服务器所默认的可信赖认证中心,以及这些认证中心能否被用来攻击系统,或攻击由该认证中心所建立的连接。这项检测对非HTTP协议也有效,但因为非HTTP协议所支持和使用的加密选项或许不同,所以检测的工程会更复杂些。
企业SSL防御策略
要使企业和用户抵御来自SSL的威胁,就需要了解企业在哪些地方使用了SSL,以及是如何使用的。这项工作可以使用与EFF和Qualys类似的方法,除此之外还有另外两种方法:监测网络流量,或者在客户端和服务器软件上执行应用程序详细清单(inventories)。在这一步完成后,你首先需要认识到,除非自己的企业在PKI(公钥基础设施)和SSL使用方面经验丰富,否则使用行业标准的SSL或认证中心是不明智的,因为它们极易导致SSL的配置问题。在客户端这一方面,你还需要使用最新的软件和安全配置(其中默认的可信赖认证中心清单是时刻更新的),才能预防由于SSL漏洞导致的攻击。如果企业确实有使用复杂SSL配置的必要(例如使用SSL加速器和只支持某种类型认证的智能卡),并且拥有处理这种复杂配置的专业知识,那么这项配置需要小心地管理,因为SSL会导致不安全的配置,这一点在上述的报告中已经证明了。
最后一项控制只涉及授权(白名单)企业使用的浏览器中所部署的必要认证中心,可以抵制来自潜在恶意认证中心的攻击。然而,这可能需要花费很大的精力,不仅要发现这些必要的认证中心是什么,还要禁用其他的认证中心。
用户可以在一开始就使用Qualys SSL实验室报告中所提出的17种可信赖的SSL证书授予机构,随后再根据自己的需要进行添加。同时,可以考虑使用扩展验证证书,因为扩展验证证书与当前标准的证书相比提供了更高的安全保证。当前的标准证书不仅要考虑授予证书的认证中心,还要考虑向网络浏览器表明所访问网站的合法性。但是,EV(扩展验证)证书不会这么麻烦,它会帮助用户区分不同类型的证书,以及这些证书的授予单位。升级后安全性更高的浏览器会在地址栏上显示一个绿条,以表明使用了扩展验证证书。
结论
虽然SSL的安全风险日益严重,但是SSL/TLS协议一直在改进,服务器和客户系统也致力于应对这些漏洞和攻击。操作系统和应用程序供应商所附带的SSL管理和支持工具的性能有了大幅度的提高。这些工具被用户广泛的应用于维护SSL的安全性以及它的相关系统,这些做法对保护互联网隐私是极其重要的。企业应当经常关注人们对认证中心的讨论,从而获悉在浏览器的证书信任名单中哪些认证中心是默认的,从而避免那些不信任的认证中心被添加在信任名单中。
作者:Nick Lewis
【编辑推荐】
- 使用SSL协议保证web服务通信安全
- VeriSign数字证书GeoTrust和RapidSSL现严重漏洞
- HTTP vs.HTTPS:数字SSL证书会损害Web安全吗?
- 联想网御SSL 科学为江苏邮政应用提供完美支撑
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/137933.html<
