五大建议安全部署TLS证书

传输层安全(TLS)证书是平衡安全包的重要组成部分,相当于营养早餐在膳食平衡中的重要地位。然而,许多公司和企业随便用洒有糖衣和油条的根来送餐,他们认为他们已经添加了足够的能量(实际上是纯卡路里!).

五大建议安全部署TLS证书

有些人可能认为安全配置和部署TLS证书是小菜一碟。但是,一旦您使用Censys或Shodan网络设备搜索引擎进行搜索,大量不安全的TLS证书将立即出现在您的眼前,包括那些由许多真正应该了解网络安全的组织部署的证书。

TLS证书保护许多其他服务的机密性和完整性,如网络流量、电子邮件和域名系统。尽管X.509证书系统被广泛破解,但它仍然是一项不可忽视的重要网络安全保护措施。如果它不是能立即堵塞所有安全漏洞的灵丹妙药,它至少是一种重要而简单的安全风险缓解方法。

这里有五个建议可以帮助你发挥顶级域名安全的魔力。

1. 采用更长的TLS密钥

1024 RSA素数分解不再困难。攻击者可以通过下载用户的公钥,然后暴力破解私钥来解密用户的网络流量,甚至模拟用户的服务器。解决方案:使用更长的TLS密钥。

2048位密钥是当前的行业标准,任何少于该标准的密钥位都不应再次采用。对于没有极高性能要求的网站,3072或4096位RSA密钥并不太疯狂。增加RSA密钥长度会对性能产生轻微影响,但不一定会影响用户的感知程度。

尽管确保RSA密钥长度足够长对于TLS证书安全很重要,但还有许多其他方法会危及TLS安全。密钥长度只是TLS安全之旅的开始,而不是结束。

2. 可能的话,移除TLS 1和TLS 1.1

似乎应该废除SSL v2和SSL v3,TLS v1不再被视为可接受的最佳实践——。就连支付卡行业数据安全标准(PCI DSS)去年也要求PCI合规网站撤销对TLS v1的支持,并敦促商家禁用TLS 1.1版在文章的这一章中,PCI人员写道:SSL和早期TLS有大量严重的漏洞尚未修复。使用这些协议的组织有数据泄露的风险。狮子狗和BEAST漏洞被广泛利用就是一个例子。攻击者可以利用SSL和早期TLS中的漏洞渗透到组织中。

安全人员都知道PCI/DSS安全建议是陈词滥调,但这是最低标准的合规底线。除非您需要支持许多旧设备,否则最好尽快取消对TLS v1和TLS v1.1的支持。

TLS 1.3仍是新事物,但它可以提供更强大的安全特性,并在一定程度上提高性能。新规范直到2018年8月才最终确定,迄今为止采用过程一直缓慢。提供TLS 1.3支持没有已知的危害。如果客户端不支持新协议,它将自动降级到TLS 1.2。

3. 如果可能的话,删除对旧密码套件的支持

4. 更短的有效时间

最好只启用安全加密。如果必须容忍弱加密,就不值得因为极少数用户的可用性而丢失*所有*用户的机密性和完整性值。

如果您想分析和验证您的TLS证书当前支持的加密套件及其安全性,可以考虑从Qualys SSL实验室的在线测试开始。

5. 避免跨多个设备使用通用证书

然而,行业标准仍然允许密钥的有效期最长为2年(825天),这仅比2018年之前的最长3年有所减少。永远不要问自己最低的标准。今天,钥匙每30天旋转一次并不罕见。迫使攻击者长时间停留或频繁入侵服务器以窃取新密钥会增加捕获攻击者的可能性。即使他们不能阻止最危险的黑客组织,他们至少可以不那么容易地离开。

如果私钥部署在多个设备上,例如网络服务器、电子邮件服务器、复印机、打印机和一些物联网设备,入侵服务器并窃取TLS密钥是非常容易的。如今,攻击接口非常大,攻击者只需要找出最容易攻击黄龙的设备。很明显,从黑色复印机上获取私钥比从直接的黑色服务器上获取要容易得多。

私钥的位置越多,攻击者就越容易窃取私钥并解密所有信息。因此,不要试图只使用一个私钥来节省麻烦。只要有条件,私钥就应该分配给每个设备。

没有所谓的“攻击豁免”组织。就连英国政府通信总部(GCHQ)也被通用顶级域名证书打败了。

糟糕的TLS部署会向敏感的攻击者透露许多有关您公司的信息,每周扫描整个IPv4网段的监管机构和网络安全保险公司也可以了解您的安全合规性状态。如果您甚至懒得正确部署TLS证书,可以想象,其他基础架构的安全性也好不到哪里去。许多人都在打听你的安全,有些人不太友好。必要的前期工作应该做好。威慑比事后补救更方便。

极牛网精选文章《五大建议安全部署TLS证书》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/5073.html

(31)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2019年7月8日 上午11:34
下一篇 2019年7月8日 下午1:35

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部