分类
知识中心

企业如何避免SSL攻击

以下是企业网络中应避免的SSL攻击的常见方法:

避免使用自签名证书

很多时候,系统配置为使用未由授权和受信任的证书颁发机构签名或颁发的自签名证书。此类自签名证书没有证书颁发者的有效凭据或信息。他们也可能使用弱算法和弃用算法,如SHA1或RSA算法,具有弱密钥强度。此类服务器很容易被利用进行攻击,恶意用户可能能够在此类服务器上托管恶意代码。自签名证书只能用于测试,切勿在生产系统中使用。此外,服务器永远不应信任自签名证书

避免使用通配符证书

在面向公众的Web服务器上使用通配符证书会增加组织的风险,即黑客将使用服务器在各种恶意活动中托管恶意网站。为了克服此问题,组织应避免在生产系统上使用通配符证书,尤其是面向公众的系统。请改为为每个域和子域使用特定的证书。

避免未知的证书颁发机构

维持双方之间的信任取决于CA的可信度。在现实世界中,许多客户可能会依赖未知且在市场上不受欢迎的CA,因为它们提供更便宜的解决方案。从长远来看,这可能会使他们(客户)付出代价,因为攻击者可能会破坏这些CA并冒充合法CA来窃取大量关键信息。为了防止这种情况,组织应识别来自未知和不受信任来源的所有CA和证书,并丢弃或替换为来自受信任来源的CA和证书。

防止使用加密通信的攻击者

在当今世界,攻击者使用加密作为针对组织的工具。越来越多的网络犯罪分子正在使用SSL/TLS加密通信在企业网络和系统中植入恶意软件。随着这一趋势的发展势头,Gartner的一份报告称,50%针对企业的网络攻击将使用加密。对于企业来说,检查和解密这种流量将是一项繁琐的工作,特别是当他们没有能力这样做时。为了克服这个问题,组织应利用网络安全解决方案对SSL流量实施出站Web策略。他们还应该仔细区分应考虑在入站和出站方向上解密哪些加密流量配置文件。

避免使用过期的SSL/TLS证书

过期的SSl/TLS证书是全球服务中断的最常见原因。微软在其Azure服务中遇到了臭名昭著的服务中断,不得不向客户提供服务积分,给他们造成了巨大的损失。过期的证书还会导致组织容易受到MITM(中间人)攻击,因为攻击者可以轻松利用过期的证书。

为了保护您的组织免受这种情况的影响,应立即将所有过期的证书从系统中取出,并替换为活动/有效证书。

避免网络钓鱼攻击

网络钓鱼攻击旨在利用人类情感漏洞来欺骗他们并向攻击者提供敏感/个人信息。当用户以html等形式获取链接以提供有关自己的一些个人信息时,他们应注意该链接是安全的还是不安全的。安全链接的地址栏中有“https”,而不安全的链接只有“http”。

为了保护自己免受此类网络钓鱼攻击,如果您尝试访问的html页面不安全,SSL/TLS会向您发出警告消息。此外,如果您要离开安全页面并转到不安全的页面,SSL/TLS仍会向您发出警告。作为最佳实践,用户应始终使用真实的URL/网站以避免网络钓鱼攻击。

使用严格的SSL

在严格SSL(也称为完整SSL)中,对源服务器的身份执行额外的验证,以防止主动窥探和修改您在Internet上的流量。在现实世界中,SSL/TLS加密客户端和网站/服务器之间的通信。但是,MITM攻击诱使用户/客户端在不知不觉中与合法网站/服务器的虚假对应物进行交互。这就是严格的SSL出现的地方。SSL强制客户端的浏览器检查任何网站的身份验证证书,以确保它是否具有有效的证书。MITM攻击无法更改身份验证证书,因此达到了完整SSL的目的。

分类
公司新闻

努比亚携手天威诚信,共同打造多域名网站安全解决方案

域名作为网站的入口,对企业营销型网站建设起着至关重要的作用,尤其是做C端业务的企业网站,往往拥有多个域名。

在PC端、Web端、移动端等全渠道营销环境下,企业通过多域名网站增加获客机会的同时,也意味着要面临更多的网络风险,国内知名手机品牌——努比亚企业网站正是如此。

深圳市努比亚信息技术有限公司(以下简称“努比亚”)是国内新锐高端智能手机厂商。自成立以来,努比亚坚持“Be Yourself”的品牌理念,在产品工艺、用户体验和技术研发等方面始终坚持创新与极致。

努比亚旗下智能手机包括Z、My(布拉格系列)、X、N和红魔五个系列,业务范围覆盖中国、北美、南美、北欧、俄罗斯、东南亚、印度等市场。

随着全球市场规模的不断扩大,努比亚网站的域名也越来越多。为解决多域名网站可能带来的安全隐患,努比亚牵手天威诚信,通过部署多域名SSL证书保障企业网站安全,助力努比亚业务稳健发展。

多域名适配方案+https全站扫描

考虑到努比亚网站拥有较多域名,且分布于国内外不同网络环境下的实际情况,天威诚信根据不同域名特性为之提供相适配的SSL证书安装服务,证书为国际通用品牌通配符证书,支持添加扩展域名,解决了努比亚在不同环境中安装证书的问题。
通过SSL证书,可识别网站所有者身份信息,提高客户信任程度,并显示安全锁和绿色地址栏,确保努比亚多域名网站的安全运行。

同时,为确保多域名网站数据安全,天威诚信为努比亚提供https全站扫描方案,检测全域名下证书安装情况及运行状态,保证访问者全程都在https协议的保护下进行浏览,进而确保站点和数据传输安全,有效屏蔽骚扰攻击、钓鱼网站及中间人攻击等恶性行为。

CIM平台:一键管理多域名网站证书

随着SSL证书在努比亚多域名网站的大面积应用,证书的安装、维护、有效期管理和故障监测等需求不断增加,为努比亚网站运营带来了一些管理上的不便。

有鉴于此,天威诚信通过自主研发的CIM平台与努比亚网站深度融合,一键管理努比亚多域名网站SSL证书,实现证书的全生命周期管理。

CIM平台具有证书自动识别、统一集中管理、证书状态自动分析和报告、信息及时通知等功能,平台采用C/S架构,多机房管理和分布式部署,可方便对多个机房进行分析和报告,可同时管理自签名SSL证书和企业内部CA系统SSL证书。

对努比亚这种多域名网站用户而言,天威诚信CIM平台易于操作且完全免费,在为网站提升安全的同时,提供了更加直观的SSL证书综合管理方案,让用户省心、省时,证书管理更加高效。

作为中国唯一一家由DigiCert直接授权且由中国工信部批准的电子认证服务机构,天威诚信不仅拥有国际各大品牌的全线SSL证书产品,更自主研发了支持国密算法的vTrus系列证书,可为政府、银行等关键领域提供便捷适用的国密改造方案。

伴随着更多企业业务在线化、数字化的发展趋势,天威诚信将紧贴市场和用户需求,不断优化技术支持和证书管理方案,持续为客户提供优质可靠的可信网站认证产品与服务。

分类
知识中心

如何应用单个IP地址共享443端口配置多个SSL虚拟主机

由于全球互联网络的迅猛发展,IPv4资源逐渐成为一种稀缺资源。传统的SSL证书安装配置办法(也是目前最稳定的解决方法)就是为每个 https 主机使用不同的IP地址。

如果直接按照http主机的配置办法配置 https 主机,就会出现一个很普遍的问题:不论浏览器请求哪个主机,都只会收到默认主机(配置的第一个443端口的虚拟主机)的证书。这是由SSL协议本身的特性引起的——先建立SSL连接,再发送 https 请求(即加密主机头)。所以服务器端在与客户端建立SSL连接时不知道客户端所请求主机的名字,因此服务器端只会返回默认主机的证书。

目前已有两种可行的方案来实现多个 https 主机共享一个IP地址的443端口:

1. 使用支持多个域名的证书(多域名SSL证书通配符SSL证书

多域名SAN(SubjectAltName)证书能够在一张证书中最多支持绑定25个域名。当需要为同一台物理服务器上的多个不同域名的主机配置SSL证书时,可通配置一张共享的多域名证书来实现IP地址和端口的共享。只需将所有虚拟站点的域名绑定到这张多域名SSL证书中即可。

可接受的域名格式

示例

国际顶级域名

www.domain.com、www.domain.net

CN顶级域名

www.domain.cn、www.domain.com.cn

其他顶级域名

www.seconddomain.com

子域名

server.domain.com、server.cn.domain.com…

服务器主机名

msexchange1

Intranet名称和内网域名

msautodiscovery、sercer.local

RFC 1597所规定的私有IP地址

192.168.0.0 – 192.168.255.255
10.0.0.0 – 10.255.255.255

至多一个公网IP地址

202.*.*.* …

通配符SSL证书是在一个单一的证书中,通用名(域名)字段中包含一个“*”通配符字段(*.example.com)。这使得该证书可以支持无限制数量的多个子域名(主机)。这张通配符证书也可作为虚拟主机的共享证书,为所有归属于同一域名下的二级域名实现https虚拟主机的IP地址共享。

对比多域名证书和通配符证书的产品特征可知,多域名证书受到“SubjectAltName”字段的长度限制,最多支持25个域名。而通配符证书虽然支持的域名数量不受限制,但只能支持同一域名下的二级子域名。在证书的应用中需要根据证书产品特点加以合理选择。

2.开启SNI支持

SNI 是“Server Name Indication”的缩写,全称“主机名称指示”。

TLS主机名指示扩展(SNI,RFC6066)允许浏览器和服务器进行SSL握手时,将请求的主机名传递给服务器,因此服务器可以得知需要使用哪一个证书来服务这个连接。但SNI只得到有限的浏览器和服务器支持。

SNI 客户端支持

Firefox 2.0 及后续版本

Opera 8.0及后续版本

Internet Explorer 7.0及后续版本(要求Windows最低Vista系统)

Google Chrome 所有版本(Windows版要求最低Vista系统)

Safari 3.2.1及后续版本(Mac OS版要求最低X 10.5.6 ;Windows版要求最低Vista系统)

SNI 服务器端支持

Nginx 0.5.32及后续版本

Apache 2.2.12及后续版本

IBM Http Server 7.0及后续版本

Apache 、Nginx 要求安装 Openssl0.98f(0.98j开始默认支持SNI) 或更高版本的 Openssl 支持。

SNI的配置

在Apache中配置SNI

在Apache配置文件中通过使用

Listen 443

NameVirtualHost *:443

<VirtualHost *:443>

……

ServerName www.example1.com

……

</VirtualHost>

<VirtualHost *:443>

……

ServerName www.example2.com

……

</VirtualHost>

开启虚拟主机配置

在Nginx中配置SNI

Nginx 中通过 nginx -v 命令查询当前已安装的版本对 SNI 功能的支持。在配置文件中通过

ssl_certificate common.crt;

ssl_certificate_key common.key;

server {

listen 443;

server_name www.example1.com;

ssl on;

}

server {

listen 443;

server_name www.example2.com;

ssl on;

}

开启SNI支持。

在IBM Http Server 7中配置SNI

IBM Http Server 7中配置SNI支持需要将多个证书密钥对合并到一个单独的kdb文件中来为不同虚拟站点配置使用不同证书。

使用 I Key Manager 工具打开 www.example1.com 的服务器证书 key.kdb 文件,切换到“个人证书”选项卡,选择“导入/导出”。然后选择证书导入密钥库,密钥库格式选择“CMS”格式,并选中 www.example2.com 的服务器证书 key.kdb 文件。将 www.example2.com 的服务器证书 key.kdb 中已存在的证书密钥对导入到 www.example1.com 的 key.kdb 文件中。导入过程中,修改导入的密钥对别名为 example2。

Listen *:443

NameVirtualHost *:443

<VirtualHost *:443>

ServerName www.example1.com

SSLEnable

SSLServerCert example1 # example1 是在 kdb 文件中,为 www. example1.com 的服务器证书密钥对设置的证书别名

</VirtualHost>

<VirtualHost *:443>

ServerName www.example2.com

SSLEnable

SSLServerCert example2 # example2 是在 kdb 文件中,为 www. Example2.com 的服务器证书密钥对设置的证书别名

</VirtualHost>

SSLDisable

KeyFile /opt/IBM/HTTPServer/key.kdb