电子商务企业利用的每一个网络安全解决方案都将受到黑客的测试。SSL证书是当今网络安全的基础。但正如我们所知,自从锁的发明以来,窃贼已经适应了挑选锁:自从警报系统发明以来,窃贼已经适应了压制他们。没有安全系统,这些恶意方不会试图克服。那么,SSL证书安全性如何呢?
SSL证书安全性取决于证书管理和选择。并非所有证书机构都是平等的,不断研究和分析针对SSL的成功攻击的权威机构将是电子商务企业应该吸引的证书机构。黑客会利用服务器端到最终用户的任何弱点,即使SSL提供安全性,他们也可能找到一条出路。通过服务器端提供解决方案的SSL供应商应用SSL并提供修补程序和恒定时间计算,可帮助提高安全性。安全取决于解决脆弱领域的问题。
脆弱性区域
- CA机构-有超过600个证书机构,浏览器将信任,黑客需要做的只是找到一个他们能够闯入和系统可能会受到损害。
- CA机构附近的路由器-在CA附近将路由器泄露,可以允许攻击者读取传出的电子邮件、更改传入的域名系统数据包并中断域名验证。
- DNS服务器-如果该服务器由证书机构使用。或者,为受害者域名伪造条目。
- 网络协议-对网络协议的攻击可以通过TCP或BGP授予对受害者域的电子邮件的访问权限。
- 恶意证书-CA恶意为任何域名签发证书。
这样的事件意味着任何HTTPS网站的安全性都可能遭到破坏。SSL和证书机构必须接受测试,但正是CA正在努力修复这些漏洞,这些漏洞应该受到追捧。
成功/潜在黑客攻击活动
BEAST-(浏览器利用对SSL/TLS)已发现TLS版本1.0或更早的漏洞。许多浏览器上不支持1.1或更多版本。因此,易受攻击的版本可能允许黑客窃听PayPal、Gmail或其他网站。BEAST使用一块JavaScript和网络嗅探器解密Cookie并允许访问用户帐户。
Lucky13-(可能的攻击代理):HTTP严格的运输安全(HSTS)是一项标准,用于帮助浏览器通过HTTPS连接到网站。没有它,用户可以访问HTTPS页面和登录,而无需它提供的安全性。一种名为SSLstrip的工具可能会欺骗Web浏览器和用户,使他们以为它们不在SSL或HTTPS保护的网站上。这所利用的漏洞之一是弱密码块链。
SSL证书将继续是网络安全的基础,但必须考虑这些新的和不断变化的风险,以便努力继续沿着前进的道路前进。
CA必须进行积极的研究和创新,以确保社会日益参与的电子商务世界。毫不奇怪,SSL将受到黑客的严密监视,他们试图以任何可能的方式获得优势,但正如我们所看到的,SSL已成为一个网络安全解决方案,足以迫使黑客考虑利用其他切入点。
鉴于这些威胁,符合客户日益提高的标准和要求的证书机构将保持SSL证书作为解决方案的完整性。
