分类
知识中心

ssl加密是怎么样的?

SSL加密是一种常用的网络保护机制。在互联网信息大量传输的情况下,安全问题尤为重要。SSL加密为信息传输提供了一种安全性保障,被广泛应用于电子商务等领域。其主要原理是通过用公开密钥加密来保证数据传输的安全,同时也可以确保传输过程中的完整性和真实性。

SSL加密通过使用数字证书来确保传输双方的身份。公钥则可以用来加密和验证数据,而私钥则仅对于它的拥有者可见。数字证书分别与每个网站相关联,确保了数据只会被发送到其真正的目标地址。

此外,SSL加密中还使用了对称加密算法。该算法会在数据传输开始之前生成和分配一个主密钥,并使用该密钥进行加密。在数据发送方和接收方之间传输的数据通过使用此主密钥进行加密和解密来保护通信。

为了提高SSL加密的安全性,它还支持使用不同的加密协议和算法。协议选择和算法选择可以根据网络环境和需要进行调整,以满足不同的安全要求。

尽管SSL加密已经是网络安全的关键机制之一,但是在实践中,它也可能存在一些缺点和风险,其中包括中间人攻击、弱密码和证书颁发机构的漏洞等。因此,需要不断更新和优化SSL协议以提高其安全性。

总之,SSL加密在保障信息安全方面起着至关重要的作用。通过使用SSL协议进行数据传输,可以确保数据在传输过程中的完整性、真实性和保密性,从而为互联网的安全提供了基础保障。

天威诚信致力于成为数字时代安全可信支撑体系的核心力量。以法律为标准,以电子认证行政许可为依托,以数字化技术为手段,支撑构建安全可信的数字应用生态,推动数字经济安全、合规发展。运用密码、区块链、大数据、人工智能、云计算等技术,将立法标准、司法实务标准与密码应用规范、电子认证业务规范相融合,构建完整的法律科技服务体系,为数字世界中的人、事、物、时、空提供真实性证明服务,为数字世界法治生态建设提供支撑保障,守护数字世界秩序。

分类
知识中心

SSL证书助力构建数字化时代网络安全防线

《中华人民共和国网络安全法》(以下简称“《网络安全法》”)于2017年6月1日施行,至2023年6月1日已正式实施六周年。

过去的六年间,国家相继颁布了《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》等网络安全领域的法律法规,对于网络安全建设和发展起到了重要的引领作用,让“没有网络安全就没有国家安全”的理念深入人心。

从全球范围看,网络安全牵一发而动全身。随着技术和安全威胁的不断更新,各领域对网络基础设施、个人信息的保护措施也在逐步增强,对广大国内企业而言,通过为服务器部署SSL证书构建网络安全体系,是对《网络安全法》的有效践行。

SSL证书为数据传输建立加密通道

《网络安全法》第二十一条规定:网络运营者应当按照网络安全等级保护制度的要求,履行数据安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

在网络安全建设和企业数字化转型过程中,依托SSL证书对传输信息加密是网络安全非常基础且重要的一环。SSL证书具有网站身份验证和信息加密传输双重功能,可防止网络数据泄露或被窃取、篡改,有效防范网络攻击、非法侵入等风险。

SSL证书由受信任的CA机构在验证服务器身份后颁发。天威诚信是工信部许可设立的全国性CA机构,早在2000年便将DigiCert认证业务引入中国,开启为中国用户提供网络认证服务的先河。多年来,天威诚信依托服务于全行业95%以上大客户的经验,持续为广大企业提供全球信任CA机构的全类型SSL证书及认证服务,为企业网站信息安全保驾护航。

可靠的双向验证与用户信息保护

《网络安全法》第二十四条规定:国家实施网络可信身份战略,网络运营者在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户使用服务器不提供真实身份信息的,网络运营者不得为其提供相关服务。

SSL证书可通过双向验证的方式确保服务端和客户端的通信安全。作为一种高效的身份验证方式,SSL双向验证通过一个客户端证书和一个服务器证书来实现,可以让数据在传输过程中实现完全加密以及通信双方的身份可信。

SSL双向验证虽然需要付出额外的成本,但对于特定的应用场景,如涉及金融业务、医疗信息等敏感数据的处理,SSL双向验证仍然是一种非常有效的安全措施。

《网络安全法》第四十二条规定:网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。

任何一个网络运营者,都必须为其用户信息的完整性负责。在保护网站用户信息不被泄露、篡改或窃取方面,为网站服务器部署SSL证书开启HTTPS加密协议十分重要。天威诚信提供的全球可信SSL证书,可为各网络运营者开启HTTPS加密绿色通道,防止信息泄露,保障用户敏感信息安全。

伴随《网络安全法》等法律法规的深入实施,加强网络信息安全保护已成为广大企业和用户的共识,天威诚信将立足SSL证书和网络可信认证服务循序构建网络信任体系,持续提升网络安全保障能力,积极践行“数字世界秩序守护者”的使命,护航全行业数字化转型。

分类
公司新闻

天威诚信荣获DigiCert白金精英合作伙伴

凭借多年的深度战略合作贡献及突出的市场表现,天威诚信日前收到了DigiCert颁发的“白金精英合作伙伴”荣誉资质认证,该资质为DigiCert战略合作模式中的最高资质,充分证明了天威诚信在亚太区数字证书市场中的极高占有率及领先的业界技术支撑能力与服务支持能力。

天威诚信荣获DigiCert白金精英合作伙伴DigiCert是全球领先的数字信任提供商,专注于为用户提供SSL证书和代码签名证书,是全球众多顶尖公司值得信赖的合作伙伴,同时也为新兴物联网市场提供值得信赖的 SSL、私有和托管 PKI 部署以及设备证书。

早在2000年,天威诚信便将DigiCert认证业务引入中国,开启为中国用户提供DigiCert认证方案的先河。20多年来,双方在合作过程中积累了丰富的行业最佳实践,基于双方共同打造的完善的联合服务机制,天威诚信累计服务于阿里巴巴、百度、腾讯、京东、联想、金山、中行、工行、建行等全行业超95%的大客户,覆盖超10亿网民。

值得一提的是,天威诚信已连续多年蝉联Digicert亚太区年度重要合作伙伴大奖,2022年11月,在DigiCert召开的“2022年亚太区合作伙伴会议”上,天威诚信更一举揽获“2022年度最佳合作伙伴”、“年度卓越销售业绩奖”等重量级大奖。

随着全球数字经济的加速发展,网络安全问题更趋严峻复杂。在助力中国企业网络安全建设过程中,天威诚信将继续依托DigiCert全球领先的安全技术和专业的服务经验为中国互联网用户及企业的数字化转型保驾护航,并将DigiCert的优质技术服务与中国企业本土洞察相结合,不断打磨产品,优化服务,持续深耕本地化SSL数字证书技术和网络信息安全实施方案的研究与应用,为全行业客户提供更优化、更稳定且高性能的网络认证服务。

作为DigiCert中国市场坚实可靠的合作伙伴,天威诚信与DigiCert在合作共赢的基础上将继续立足资源禀赋与服务优势,积极布局推动与DigiCert在数字证书自动化等领域的深入合作,通过提供更有效的数字信任解决方案,更好地满足企业数字化转型和网络安全需求,为众多行业客户的数字化安全升级提供更有力的支撑。

分类
公司新闻

天威诚信荣获2023阿里云“共创云端奖”

4月26日,2023阿里云合作伙伴大会在南京举行。本次大会主题为“坚持伙伴优先,为创新提速”,阿里云智能首席商业官蔡英华在会上公布了2024财年的生态政策,提出要让伙伴的收益更可期、协同更高效、发展更持续。

天威诚信作为阿里云核心合作伙伴受邀参会,并在合作伙伴颁奖典礼上荣获2023阿里云“共创云端奖”。

该奖项是阿里云为年度优秀合作伙伴颁发的公司级奖项,旨在表彰与阿里云保持长期稳定合作,并在市场拓展、行业区域深耕、产品技术创新、客户服务等领域取得卓越成就的伙伴。

作为大客户覆盖率超过95%的CA机构,天威诚信深耕数字信任领域多年,拥有丰富的应对和解决各种复杂及突发情况的专业服务经验,可帮助云上客户简化域名验证流程,提升云上部署及证书管理效率,使客户享受安全高效的数字证书服务。

基于与阿里云多年的密切生态合作,双方积累了丰富的行业最佳实践,共同打造了完善的联合服务机制,实现了强强联合,共同为广大企业及用户提供了数字化空间的便利性和安全性保障。值得一提的是,在2020年9月,天威诚信自主建设的国产vTrus SSL证书正式上架阿里云平台,通过为云上客户提供一站式的安全合规产品采购服务,满足阿里云客户对于证书国产化的需求。

李延昭表示:“天威诚信与阿里云合作多年来,市场定位精准,坚持合作共赢,持续为国内企业的数字化转型聚势赋能,提供了有效的数字信任解决方案。当前,天威诚信正与阿里云携手推动在数字证书自动化部署等领域的深入合作,以更好地满足客户对便捷的数字信任建设的需求,相信未来我们的合作会获得长远增长。”

阿里云智能首席商业官蔡英华在颁奖盛典上表示:“合作伙伴是阿里云业务发展的关键动力,在刚刚过去的一年里,阿里云和合作伙伴一起扎根于千行百业,耕耘数字经济。希望新的一年阿里云和合作伙伴齐头并进、聚力行远,推动产业创新持续提速。”

阿里云创立于2009年,是全球领先的云计算及人工智能科技公司,为200多个国家和地区的企业、开发者和政府机构提供服务。天威诚信与阿里云建立合作以来,始终致力于通过可靠的数字信任服务推动企业数字化转型,实现线上业务的安全合规发展。

在阿里云“伙伴先行”的大趋势下,天威诚信将进一步深化与阿里云的战略合作,持续投入数字信任能力建设,加速数字技术与产业深入融合,全面助力数字经济发展。

分类
知识中心

SSL证书,网站信息安全基础保障措施

在数字化、全球化的时代,网络攻击可能来自世界任何地方,可能导致企业机密信息和个人敏感信息被盗、经济和声誉受损,尤其对以线上交易为主的企业而言,网络攻击往往是致命的。

事实上,不仅仅是跨国大公司,中小企业和个人用户同样面临着网络攻击的风险,而且由于中小企业对网络安全建设投入较少,往往容易成为网络攻击者的首选目标,不仅会产生重大的财务影响,还可能因此失去客户和合作伙伴的信任。

网络安全对于保护企业财务数据、用户敏感信息、知识产权和机密商业信息等至关重要,对中小企业而言,如果想通过既简单又省钱的方式来保护网站信息安全,那自然非SSL证书莫属了。

在如今谷歌、百度等互联网巨头强制性要求网站HTTPS化的情况下,网站部署SSL证书已然成为互联网的发展趋势。部署SSL证书除了给网站的地址栏加一把小绿锁以外,还会带来其他许多好处,主要表现在以下几个方面。

提供身份验证

‍‍‍涉及到网络安全,身份验证是必不可少的。而安装SSL证书,网站就必须通过身份验证。通过后由权威第三方认证机构为用户颁发“网络身份证”,实现实体的物理身份与网络的虚拟身份绑定,确保网站所有者在虚拟网络世界的真实身份。

保护数据传输安全

SSL证书通过SSL协议对传入和传出站点的数据进行加密,可以保护数据不被任何试图访问它的恶意人员读取。即使发生数据泄露并且某些数据被截获,由于其涉及的加密级别,也几乎不可能被破解,可使访问者放心浏览。

防范网络钓鱼

钓鱼网站是由想要窃取用户信息的人创建的虚假网站,创建者很难获得有效的SSL证书。当用户在网站上看不到安全标志时,他们可能不会输入任何个人账户信息,而是直接离开此网站。所以有效的SSL证书可以防止对访问者的网络钓鱼攻击。

防止流量劫持

SSL证书可通过SSL协议为网络通信提供安全及数据完整性保护。在SSL握手阶段,客户端浏览器会验证服务器身份,防止信息被冒用。因此,如果攻击者发起DNS劫持会导致连接错误,服务器将被发现并终止连接,最终导致DNS劫持流量攻击无法实现。

提高网站SEO排名

部署SSL证书后,网站实现了真实性验证,有助于进行网站优化,提高搜索排名顺序,为SEO的目标和网站增强了安全系数,同时可吸引更多的用户进行访问,提升网站的价值,增加企业营收。
总的来说,SSL证书可有效保护企业以及用户的信息安全,提升企业网站竞争力。那么,如何获得SSL证书呢?

常规SSL证书申请颁发过程按照证书安全等级不同,需要进行一系列的安全认证,企业在通过认证后支付相应费用便可获得证书。但这一过程比较繁琐,所以建议企业选择权威CA机构提供的一站式服务,以节省申请、部署和维护SSL证书的时间和人力成本。

天威诚信是由工信部许可设立的国内权威CA机构,深耕SSL证书服务23年,产品类型众多,运营机制可靠,且具有服务于全行业95%以上的大客户经验,可为广大企业客户提供专业完善的SSL证书及认证服务,为网站开启HTTPS防护。

分类
公司新闻

天威诚信“云安全合规”闭门交流会在京召开

4月21日下午,由天威诚信主办的“云安全合规”闭门交流会在北京万豪酒店成功召开,会议汇聚了来自阿里云、京东云、金山云、火山引擎、亚马逊等国内外主流云平台代表,共同探讨云安全发展中的合规建设问题,天威诚信首席安全官李延昭出席会议并发表主题演讲,天威诚信国际认证事业部总监安垠主持会议。

天威诚信“云安全合规”闭门交流会在京召开-1

会议同时邀请到了多位来自各关键领域的专家、学者,通过聚焦“云安全合规”这一主题,专家们结合行业发展特点与应用实践,以主题演讲的方式,就云安全合规建设和发展趋势分享经验、建言献策。

中国信通院云大所专家徐秀在主题为《云密码应用与测评研究》的演讲中指出,作为云服务的重要组成部分,云密码通过提供真实性、机密性、完整性、不可否认性四个密码安全功能,保障云平台及云产品应用、安全网络通信、云租户、运维管理等环节的安全。项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,通过同步规划、同步建设、同步运行密码保障系统并定期进行评估,构建适应云架构的密码基础设施,保障云平台的安全合规。

北京德恒律师事务所合伙人、网络与数据研究中心主任张韬从法律维度出发,进行了主题为《大数据时代的数据合规—立法与实务热点解析》的分享。通过对业内典型案例和合规风险点的分析,张韬阐述了现有法律体系对云安全合规建设的监督与推动作用,明确了云平台建设和应用过程中的法律责任。

同时,通过对《个人信息保护法》以及“数据二十条”的专业解读,张韬提出了在遵循各项法律法规基础上,云平台及其他企业合规体系的建设重点,具有十分重要的指导意义。

在主题为《中国商用密码算法公共可信证书体系建设发展趋势》的演讲中,李延昭将欧洲、北美和中国的信任体系模式进行了对比分析,诠释了公共可信证书的核心价值,即“更高的服务水平、更高的责任承担”,并由此提出,当前建设国产密码算法的服务器证书信任体系是我国网络信任体系的重要组成部分,是全面提升我国网络安全保障能力的重要抓手。

李延昭通过国密算法证书在互联网平台服务商、云服务商、政府和企业的应用实践,展示了天威诚信在推进国密算法证书应用方面的改造能力和适配的解决方案,通过研发国产密码算法的开源密码库和CA 基础设施改造,天威诚信致力于打造国产密码算法服务器证书的产业链,促进国密生态环境的形成。

亚马逊云科技首席安全布道师江学森在会上做了主题为《亚马逊云安全背后的细节》的演讲,江学森开篇介绍了贯穿亚马逊业务全流程的安全文化,通过亚马逊首创的安全责任共担模型,展示了亚马逊在推动安全及合规方面的建设思路和现行制度,并通过与国内其他云平台合规建设的对比,深度诠释了亚马逊“云中的安全”和“云自身的安全”两大建设和运营核心。
江学森重点提及,在云安全合规建设中,亚马逊云科技可提供280多项安全、合规服务及功能,覆盖威胁检测与事件响应、身份认证与访问控制、网络与基础设施安全、数据保护与隐私、风险管控及合规五大领域,切实保障“云上安全”与合规发展。

闭门会上,围绕当下行业热点话题和云平台安全合规建设等议题,来自各大主流云平台产品运营和风控领域的专家展开了热烈讨论,会议重点关注了“企业级专有云如何部署”“云厂商如何兼顾企业的国产化安全保障手段”“云厂商内部数据安全与合规应用”等合规发展方向。

在云计算和大数据持续深入企业数字基础设施的今天,数字安全成为小微企业数字化发展的关键。天威诚信以电子认证服务在云安全与数据安全领域的研究及实践为依托,积极协同各大云平台、厂商和生态合作伙伴,持续深化云安全合规建设与企业数字化转型服务,通过打造云计算安全保障体系,坚持以安全合规之盾全方位护航企业数字化转型和高质量发展。

分类
安全播报

某知名汽车公司遭到网络攻击,公司如何保护网站的信息安全?

近日,一个勒索软件团伙对某知名跨国车企发起的网络攻击引起了业内外高度关注。虽然此次事件只影响了其在当地的一家经销商,但也再次为该公司的数据安全问题敲响了警钟。

据了解,勒索软件团伙使用包括钓鱼邮件、利用漏洞、破坏远程桌面协议等方法对企业信息系统发动攻击。成功的攻击后,他们可以访问客户文件、合同和财务信息。

近年来,国内外网络安全事件频发。大众、三星、微软、英伟达等大型跨国公司都遭遇过网络攻击,业务受到不同程度的影响。

数据安全,作为每个企业关注的焦点,是黑客们最喜欢的目标。一旦攻击成功,黑客会对窃取的数据进行分析,然后展开精准的钓鱼诈骗,或者直接向企业索要赎金,对企业和客户都会造成伤害。信息财产安全构成严重威胁。

进入数字经济时代,网络信息已经深入到生产生活的各个方面。无论是传统企业还是互联网平台,都要保持警惕。通过加强网络安全建设,要确保企业数字资产、品牌声誉和客户信息的安全。既是重视客户权利的具体表现,也是企业软实力的重要体现。

针对黑客组织常用的钓鱼攻击、DNS劫持、软件勒索等,天威诚信建议企业为公司网站域名、邮件等信息系统部署SSL证书,实现对服务器的可信身份认证,并对公司邮件、密钥数据进行数字签名和加密传输,确保数据的真实性和可靠性,有效阻断网络钓鱼和信息泄露等攻击。

SSL证书由可信的CA机构颁发,可以保护网站的关键信息不被窃取或篡改,是现代互联网安全的基石。天威诚信是一家经国家权威部门许可的CA机构。目前已服务超过200万家企业,并长期为客户提供包括DigiCertGeotrustGlobalSign、Entrust等全球可信CA在内的SSL证书服务。

在服务客户的同时,天威诚信自主研发的vTrus国产品牌证书通过了WebTrust CA国际审核认证,继续通过权威、可信、安全、规范的服务,为企业的网络安全和数字化转型保驾护航。

分类
知识中心

网络钓鱼攻击常见类型与应对方法

进入2023年,网络钓鱼仍然像往年一样活跃在互联网的各个角落,而且变得越发诡计多端。虽然有包括安装SSL证书、电子邮件证书等方法可以保护我们免受网络钓鱼攻击,但更有效的方法是能够及时识破它们。有鉴于此,本文整理了几种常见的网络钓鱼类型及其应对方法,帮助你识别钓鱼攻击,保护个人信息和财产安全。

域名欺骗

域名欺骗是一种最常见的网络钓鱼形式,攻击者使用与企业非常相近的域名来仿冒企业本身或企业员工进行欺诈。通常攻击者会注册一个与企业域名非常相似的域名,并搭建一个欺诈网站,欺诈网站会使用企业商标或视觉设计风格来进行仿冒。

应对方法:对于不确定的网站,应第一时间查验网站SSL证书,检查该网站的域名是否与证书中的域名一致,同时检查SSL证书是否由受信任信任的根证书机构颁发。

WiFi网络钓鱼

攻击者伪装公众场所常用的WiFi热点,诱导受害者连接使用公共WiFi,接管受害者网络,窃取网络流量数据,捕获受害者手机号、用户账号等相关信息后实施攻击或欺诈。

应对方法:谨防不需要认证的无线WiFi。公共无线WiFi分两种,第一种是店家设置的,需要向店家询问密码,第二种是商场提供的,需要进行网页二次认证。如果一个无线WiFi不需要密码也不需要认证,那么要小心了。如果你连接了公共无线WiFi,一定要杜绝和钱财有关的一切操作,尤其是输入密码这种行为。

DNS劫持

通过入侵DNS服务器的方式,将受害者导引到伪造的网站上,因此又被称为DNS服务器投毒(DNSPoisoning)。攻击者通过攻击DNS服务器,将流量重定向到钓鱼网站。一旦受害者访问这个假冒网站并进行用户照常登录,不知不觉就泄漏了个人敏感信息。

应对方法:及时部署SSL证书。SSL证书具备服务器身份认证功能,可以使DNS劫持导致的连接错误情况及时被发现和终止,同时HTTPS协议可以在数据传输中对数据进行加密传输,保护数据不被窃取和修改。

未知号码打来的电话

如果你接到一个未知号码打来的电话,而打电话的人声称来自你熟知的银行或其他机构,要非常小心,这是一种典型的网络钓鱼策略。打电话的人会通过让你输入密码、接受验证码等方式获取你的个人账户信息,非法挪用你的资金甚至注销你的账户。

应对方法:如果有陌生号码打电话给你,不要透露任何个人信息,挂断电话,使用你知道正规的号码打给陌生人声称的那家组织。

非个性化邮件

如果你收到的电子邮件没有尊称你的大名,或者只是称呼你为“尊敬的用户”或“尊敬的客户”,就要警惕了。网络钓鱼邮件常常使用通用的问候语,这是由大规模自动化钓鱼活动批量发出的,他们的目的是诱导用户点击邮件中的链接。

应对方法:不要点击不明链接,直接删除邮件,同时企业应及时部署电子邮件证书,通过HTTPS安全通道帮助企业阻挡诈骗、钓鱼和勒索病毒的攻击,确保用户Web邮件收发过程中的信息安全。

综上可知,在应对网络钓鱼攻击方面,为网站、电子邮件系统部署SSL证书实现HTTPS加密是较为有效的解决方案,通过SSL证书可以确认网站和电子邮件发送者的真实身份,避免用户点击假冒网站和不明链接而上当受骗。

在没有万无一失的方法可以避免网络钓鱼诈骗或恶意攻击的情况下,部署SSL证书可以尽量降低网络钓鱼攻击带来的风险,帮助用户实现放心浏览,安全交易。

分类
知识中心

企业如何避免SSL攻击

以下是企业网络中应避免的SSL攻击的常见方法:

避免使用自签名证书

很多时候,系统配置为使用未由授权和受信任的证书颁发机构签名或颁发的自签名证书。此类自签名证书没有证书颁发者的有效凭据或信息。他们也可能使用弱算法和弃用算法,如SHA1或RSA算法,具有弱密钥强度。此类服务器很容易被利用进行攻击,恶意用户可能能够在此类服务器上托管恶意代码。自签名证书只能用于测试,切勿在生产系统中使用。此外,服务器永远不应信任自签名证书

避免使用通配符证书

在面向公众的Web服务器上使用通配符证书会增加组织的风险,即黑客将使用服务器在各种恶意活动中托管恶意网站。为了克服此问题,组织应避免在生产系统上使用通配符证书,尤其是面向公众的系统。请改为为每个域和子域使用特定的证书。

避免未知的证书颁发机构

维持双方之间的信任取决于CA的可信度。在现实世界中,许多客户可能会依赖未知且在市场上不受欢迎的CA,因为它们提供更便宜的解决方案。从长远来看,这可能会使他们(客户)付出代价,因为攻击者可能会破坏这些CA并冒充合法CA来窃取大量关键信息。为了防止这种情况,组织应识别来自未知和不受信任来源的所有CA和证书,并丢弃或替换为来自受信任来源的CA和证书。

防止使用加密通信的攻击者

在当今世界,攻击者使用加密作为针对组织的工具。越来越多的网络犯罪分子正在使用SSL/TLS加密通信在企业网络和系统中植入恶意软件。随着这一趋势的发展势头,Gartner的一份报告称,50%针对企业的网络攻击将使用加密。对于企业来说,检查和解密这种流量将是一项繁琐的工作,特别是当他们没有能力这样做时。为了克服这个问题,组织应利用网络安全解决方案对SSL流量实施出站Web策略。他们还应该仔细区分应考虑在入站和出站方向上解密哪些加密流量配置文件。

避免使用过期的SSL/TLS证书

过期的SSl/TLS证书是全球服务中断的最常见原因。微软在其Azure服务中遇到了臭名昭著的服务中断,不得不向客户提供服务积分,给他们造成了巨大的损失。过期的证书还会导致组织容易受到MITM(中间人)攻击,因为攻击者可以轻松利用过期的证书。

为了保护您的组织免受这种情况的影响,应立即将所有过期的证书从系统中取出,并替换为活动/有效证书。

避免网络钓鱼攻击

网络钓鱼攻击旨在利用人类情感漏洞来欺骗他们并向攻击者提供敏感/个人信息。当用户以html等形式获取链接以提供有关自己的一些个人信息时,他们应注意该链接是安全的还是不安全的。安全链接的地址栏中有“https”,而不安全的链接只有“http”。

为了保护自己免受此类网络钓鱼攻击,如果您尝试访问的html页面不安全,SSL/TLS会向您发出警告消息。此外,如果您要离开安全页面并转到不安全的页面,SSL/TLS仍会向您发出警告。作为最佳实践,用户应始终使用真实的URL/网站以避免网络钓鱼攻击。

使用严格的SSL

在严格SSL(也称为完整SSL)中,对源服务器的身份执行额外的验证,以防止主动窥探和修改您在Internet上的流量。在现实世界中,SSL/TLS加密客户端和网站/服务器之间的通信。但是,MITM攻击诱使用户/客户端在不知不觉中与合法网站/服务器的虚假对应物进行交互。这就是严格的SSL出现的地方。SSL强制客户端的浏览器检查任何网站的身份验证证书,以确保它是否具有有效的证书。MITM攻击无法更改身份验证证书,因此达到了完整SSL的目的。

分类
知识中心

SSL/TLS漏洞攻击

就像我们对其他协议一样,SSL/TLS协议也有其缺陷。以下是影响SSL/TLS1.2及更早版本的攻击。

BEAST攻击:
BEAST(针对SSL/TLS的浏览器漏洞利用)攻击通过利用此漏洞影响SSL3.0和TLS1.0(CVE-2011-3389)。在此攻击中,攻击者可以利用TLS1.0中CBC(密码块链)实现中的漏洞。这使攻击者能够通过使用MITM技术将构建的数据包注入TLS流来解密两个用户/系统之间的加密数据。这些技术允许攻击者猜测与注入的消息一起使用的初始化向量。然后,他们可以将结果与他们想要解密的块中的结果进行比较。此攻击需要访问客户端的(受害者)计算机浏览器作为先决条件。为了成功执行此攻击,攻击者可能会在初始阶段使用其他一些攻击媒介。若要克服此攻击,请使用支持TLS1.1或更高版本的浏览器。

CRIME攻击:
在CRIME(压缩比信息泄露变得容易)攻击中,利用了压缩算法的机制,该机制包含在漏洞(CVE-2012-4929)中。通常,压缩方法包括在服务器问候消息中以响应客户端问候消息,以减少数据交换的带宽要求。为了简化此过程,服务器将“压缩方法”(最常用的是DEFLATE)发送到客户端,而服务器将“NULL”压缩方法发送到客户端(如果不需要压缩)。

压缩算法使用的主要技术之一是将消息中的重复字节序列替换为指向该序列的第一个实例的指针。重复序列越大,压缩比越高。若要修复此攻击,请使用浏览器支持最新的TLS协议(TLS1.3)。

BREACH攻击:
BREACH(浏览器侦察和通过压缩超文本进行渗透)攻击旨在利用HTTP而不是TLS使用的压缩机制,就像CRIME攻击一样。此漏洞列在NISTNVD数据库下,编号为CVE-2013-3587。即使关闭了TLS压缩,也会利用此漏洞。这是通过将客户端(受害者)浏览器的流量重定向到启用了TLS的任何第三方URL,并使用MITM攻击技术监视服务器和客户端之间的流量来完成的。使用HTTP压缩的Web服务器在HTTP响应正文中反映用户输入/机密,并且容易受到此攻击。要控制此漏洞,您可以禁用HTTP级别压缩,将机密与用户输入分开,并屏蔽机密。

HEARTBLEED攻击:
Heartbleed是一种严重攻击,它发现了openssl库心跳扩展中的漏洞,并在NISTNVD数据库下列为CVE-2014-0160。检测信号扩展用于保持连接处于活动状态,只要双方都还在那里。

让我们了解openssl库中的Heartbleed功能。客户端将包含数据和大小的检测信号消息发送到服务器。然后,服务器使用收到的客户端数据和大小数据进行响应。Heartbleed漏洞旨在利用以下事实:如果客户端向服务器发送虚假数据长度,则服务器将使用其内存中的一些随机数据进行响应,以满足客户端指定的长度要求。来自服务器内存的随机未加密数据可能包含关键信息,例如私钥、信用卡详细信息和其他敏感信息。要修复Heartbleed漏洞,请升级到最新版本的openssl库或使用标志“DOPENSSL_NO_HEARTBEATS”重新编译已安装的版本。