TransportLayerSecurity(TLS)证书是均衡安全包的重要组成部分,相当于均衡饮食中营养早餐的重要地位,但很多公司随便撒炒油条我刚过了这顿重要的饭,我以为我补充了足够的能量(其实是纯卡路里!)。有些人可能认为安全地配置和部署TLS证书是小菜一碟,但只要你使用Censys或Shodan联网设备搜索引擎进行搜索,马上就会出现大量不安全的TLS证书,其中包括许多你应该真正了解网络安全。由组织部署。TLS证书保护网络流量、电子邮件、DNS和许多其他服务的机密性和完整性。虽然X.509证书体系已被广泛破解,但它仍然是一项不容忽视的重要网络安全保护措施。如果说它不是可以立即堵住所有安全漏洞的灵丹妙药,至少也是一种重要而简单的安全风险缓解方法。这里有五个提示可帮助您发挥TLS安全性的魔力。1、使用更长的TLS密钥1024位RSA质因数分解并不难。攻击者下载用户的公钥,然后暴力破解私钥来解密用户的网络流量,甚至冒充用户的服务器。解决方案:使用更长的TLS密钥。2048位密钥是当前的行业标准,任何小于此的密钥位都不应再使用。对于没有极端性能要求的网站来说,3072或4096位RSA密钥并不是一个太疯狂的想法。增加RSA密钥长度确实会略微影响性能,但不一定会达到用户能注意到的程度。虽然确保RSA密钥长度足够长对TLS证书安全至关重要,但还有其他方式可以破坏TLS安全性,密钥长度是TLS安全之旅的开始,而不是结束。2.如果可能,删除TLS1和TLS1.1,就好像SSLv2和SSLv3应该过时一样,并且TLSv1不再被认为是可接受的最佳实践——甚至去年也要求支付卡行业数据安全标准(PCIDSS)符合PCI标准的网站撤回对TLSv1的支持,并敦促商家禁用TLSv1.1。在标题为“使用SSL/早期TLS的风险是什么?”的部分中,PCI人士写道,SSL和早期TLS中存在大量严重且未修复的漏洞,使用这些协议的组织面临数据泄露的风险违反。广泛传播的POODLE和BEAST漏洞就是例子,允许攻击者利用SSL和早期TLS中的漏洞渗透组织。安全专家知道PCI/DSS安全建议很常见,但只是合规性的最低标准。除非需要支持许多非常旧的设备,否则最好尽早取消对TLSv1和TLSv1.1的支持。TLS1.3仍然是新的,但它提供了更强大的安全功能和一些性能改进。新规范直到2018年8月才最终确定,到目前为止采用速度很慢。提供TLS1.3支持没有已知危害,如果客户端不支持此新协议,它将自动降级到TLS1.2。3.如果可能,删除对旧密码套件的支持降级攻击太多太密集。POODLE、FREAK、Logjam……层出不穷,层出不穷。为了支持旧设备,许多TLS实现在90年代支持所谓的“导出加密”——一种被美国故意禁用的加密方法。美国国家安全局(NSA)对可以输出到海外的加密强度进行了限制。使用Censys的快速搜索显示,直到最近,欺骗Web服务器认为客户端仅支持古代密码套件是一种相当有效的攻击方法,影响了数百万个网站。最好只启用安全加密,如果您不得不忍受较弱的加密,那么为了极少数用户的可用性而失去*所有*用户的机密性和完整性值是不值得的。如果您想分析和验证您自己的TLS证书目前支持的密码套件及其安全性,您可以考虑从QualysSSLLabs的在线测试开始。4.更短的有效期破坏正确配置和部署的TLS证书安全性的最简单方法是侵入服务器并窃取私钥。定期密钥轮换可确保密钥被盗并不意味着全部丢失,并将损坏保持在最大入侵时间窗口内。专家建议密钥轮换间隔应为60-90天,Let'sEncrypt规定不得超过90天。然而,行业标准仍然允许最长2年(825天)的密钥寿命,仅在2018年比之前的最长3年有所减少。永远不要让自己达到最低标准。今天,密钥每30天轮换一次并不少见。迫使攻击者要么长时间停留,要么频繁入侵服务器窃取新密钥,可以增加抓住攻击者的可能性。即便不能阻止最危险的黑客团伙,但至少可以让他们更容易走开。5.避免在多个设备上使用通用证书如果私钥部署在多个设备上,例如网络服务器、电子邮件服务器、复印机、打印机和一些物联网设备,则很容易黑掉服务器以窃取TLS密钥.现在攻击面非常大,攻击者只需要找到最易受攻击的设备就可以对黄龙进行攻击。破解复印机获取私钥显然比直接破解服务器要容易得多。私钥所在的位置越多,攻击者就越容易窃取私钥并解密所有信息。所以,不要图省事,只用一把私钥打天下。只要有条件,就应该给每个设备分配一个私钥。没有所谓的“攻击免疫”组织。甚至英国的政府通信总部(GCHQ)也曾因为通用的TLS证书而失守。糟糕的TLS部署可能会向眼光敏锐的攻击者泄露您公司的很多信息,监管机构和网络安全保险公司也会每周扫描整个IPv4网段以了解您的安全合规状况。如果您甚至懒得正确部署TLS证书,您可以想象您的基础设施的其余部分不会做得更好。有很多人在那里嗅探你的安全,其中一些人并不那么友好。必要的门面工作一定要做好,威慑永远比事后整治更方便。QualysSSLLabs在线测试网站:https://www.ssllabs.com/ssltest/【本文为专栏作者“李少鹏”原创文章,转载请通过安全牛获取授权(微信公众号id:gooann-sectv)]点此阅读该作者更多好文
