使用强大的密钥交换算法
确保数据的传输、存储安全,通常都会对传输的数据加密后存储或传输,接收方收到数据后解密密文,还原明文 。通常采用的加密算法主要有对称密钥加密算法以及非对称密钥加密算法 。在安全的数据通信中,通信的双方必须分别具有加密的密钥以及解密的密钥 。一旦通信的密钥被泄漏或破解,由其加密的信息就会被泄漏 。因此,如何安全地交换或协商通信密钥就成为至关重要的问题,从而如何保证密钥的安全,特别是安全的密码交换就成为电子商务中安全信息交换的核心问题 。
2015年,研究人员发现一个SSL加密安全漏洞LogJam,LogJam漏洞将影响任何支持DHE_EXPORT密码的服务器及所有浏览器,包括最新版的IE、Chrome、Firefox、Safari等 。随后他们评估称学术派黑客可以破解768位的密钥,而国家支持的黑客更可以突破1024位的密钥 。所以为了安全起见,如果部署DHE,至少要配置2048位的密钥 。
正确部署前的验证
也许在按着本文的方法在进行部署时,许多软件和硬件配置都有了新的版本,建议大家先对自己的SSL / TLS做个全面评估,以确保运行的安全,推荐大家使用此链接进行测试 。
实践部署过程中的注意事项
使用会话重用机制
由于SSL握手的非对称运算无论是RSA还是ECDHE,都会消耗性能,故为了提高性能,对于之前已经进行过握手的SSL连接,尽可能减少握手round time trip以及运算 。
SSL提供2中不同的会话复用机制 。
(1)session id会话复用;
【SSL和TLS部署注意事项】(2)session ticket会话复用,Session id会话复用有2个缺点,其一就是服务器会大量堆积会话,特别是在实际使用时,会话老化时间配置为数小时,这种情况对服务器内存占用非常高 。
缓存公共内容
通过TLS进行通信时,浏览器可能会把所有流量都视为敏感数据 。这样,它们通常会使用内存来缓存某些资源,但一旦关闭浏览器,所有内容都可能会丢失 。为了获得性能提升并实现对某些资源的长期缓存,可以将公共资源(例如图像)标记为公开 。
启用OCSP Stapling
OCSP (Online Certificate Status Protocol) 通常由 CA 提供,用于在线实时验证证书是否合法有效,这样客户端就可以根据证书中的 OCSP 信息,发送查询请求到 CA 的验证地址,来检查此证书是否有效 。
而 OCSP Stapling,顾名思义,是将查询 OCSP 接口的工作交给服务器来做,服务器除了可以直接查询 OCSP 信息,还可以仅进行少数次查询并将响应缓存起来 。当有客户端向服务器发起 TLS 握手请求时,服务器将证书的 OCSP 信息随证书链一同发送给客户端,从而避免了客户端验证会产生的阻塞问题 。由于 OCSP 响应是无法伪造的,因此这一过程也不会产生额外的安全问题 。
使用快速加密原语
尽可能使用支持硬件加速AES的CPU,如果你真的想要进一步提高性能,请考虑使用ECDSA密钥 。
HTTP的加密
加密整个网站,加密的问题可能是当今最大的安全问题之一,比如:
(1)没有支持TLS的网站
(2)具有TLS但不执行TLS的站点
(3)混合了TLS和非TLS内容的网站,有时甚至在同一网页内
(4)编程错误的网站会破坏TLS
删除混合内容
即使你加密了整个网站,仍然可能会从第三方网站中检索出未加密的一些资源 。混合内容页面是通过TLS传输但是包含不通过TLS传输的资源(例如,JAVAScript文件,图像,css文件)的页面 。这样的页面非常不安全,这些不受保护的JavaScript资源会被中间人攻击所利用,例如劫持整个用户会话 。
了解第三方服务
多数网站都是通过从另一台服务器下载的JavaScript代码来激活的第三方服务比如google Analytics 。包含第三方代码的网站会创建一个隐含的信任连接,有效地使对方完全控制你的网站 。虽然第三方连接可能不是恶意的,但是这些服务背后的厂商可能被攻击,比如,如果一个服务器被攻击,那攻击者将自动访问所有依赖该服务器的站点 。
安全设置Cookie
为了在保持性能的前提下,实现安全,网站需要TLS,而且所有的Cookie在创建时都被明确标记为安全的 。否则就有可能被MITM攻击者利用,建议大家为你的Cookie添加加密完整性验证 。
安全的HTTP压缩
CRIME攻击通过利用压缩过程中的漏洞,可解密部分安全连接 。而禁用TLS压缩可防止这种攻击 。另外要注意,HTTP压缩可能被TIME和BREACH攻击利用 。与TLS压缩不同,HTTP压缩是必需的,不能关闭 。因此,为了解决这些攻击,需要对应用程序代码进行更改 。
推荐阅读
- 如何保证Redis和数据库双写一致性的问题?
- 鸡蛋可以和粽子一起吃吗 粽子里煮鸡蛋需要把鸡蛋打碎吗
- 梦见前女友和别人结婚时自己哭了 梦见前女友和别人结婚生子
- 平和县,白芽奇兰茶冲刺第二枚中国驰名商标
- 乌龙茶的运输和贮藏方法介绍
- 决定寿命长短的不是吃和运动,没想到是它!
- 茶是有生命的 要用心待它
- 梦见一地金黄的玉米粒和豆子 梦见一地金黄的玉米棒子
- 梦见活人和死去的人在一起 梦见活着的人和死人在一起
- 受冻茶园和受冻害良种茶苗圃应加强管理