以下是企业网络中应避免的SSL攻击的常见方法:
避免使用自签名证书
很多时候,系统配置为使用未由授权和受信任的证书颁发机构签名或颁发的自签名证书。此类自签名证书没有证书颁发者的有效凭据或信息。他们也可能使用弱算法和弃用算法,如SHA1或RSA算法,具有弱密钥强度。此类服务器很容易被利用进行攻击,恶意用户可能能够在此类服务器上托管恶意代码。自签名证书只能用于测试,切勿在生产系统中使用。此外,服务器永远不应信任自签名证书。
避免使用通配符证书
在面向公众的Web服务器上使用通配符证书会增加组织的风险,即黑客将使用服务器在各种恶意活动中托管恶意网站。为了克服此问题,组织应避免在生产系统上使用通配符证书,尤其是面向公众的系统。请改为为每个域和子域使用特定的证书。
避免未知的证书颁发机构
维持双方之间的信任取决于CA的可信度。在现实世界中,许多客户可能会依赖未知且在市场上不受欢迎的CA,因为它们提供更便宜的解决方案。从长远来看,这可能会使他们(客户)付出代价,因为攻击者可能会破坏这些CA并冒充合法CA来窃取大量关键信息。为了防止这种情况,组织应识别来自未知和不受信任来源的所有CA和证书,并丢弃或替换为来自受信任来源的CA和证书。
防止使用加密通信的攻击者
在当今世界,攻击者使用加密作为针对组织的工具。越来越多的网络犯罪分子正在使用SSL/TLS加密通信在企业网络和系统中植入恶意软件。随着这一趋势的发展势头,Gartner的一份报告称,50%针对企业的网络攻击将使用加密。对于企业来说,检查和解密这种流量将是一项繁琐的工作,特别是当他们没有能力这样做时。为了克服这个问题,组织应利用网络安全解决方案对SSL流量实施出站Web策略。他们还应该仔细区分应考虑在入站和出站方向上解密哪些加密流量配置文件。
避免使用过期的SSL/TLS证书
过期的SSl/TLS证书是全球服务中断的最常见原因。微软在其Azure服务中遇到了臭名昭著的服务中断,不得不向客户提供服务积分,给他们造成了巨大的损失。过期的证书还会导致组织容易受到MITM(中间人)攻击,因为攻击者可以轻松利用过期的证书。
为了保护您的组织免受这种情况的影响,应立即将所有过期的证书从系统中取出,并替换为活动/有效证书。
避免网络钓鱼攻击
网络钓鱼攻击旨在利用人类情感漏洞来欺骗他们并向攻击者提供敏感/个人信息。当用户以html等形式获取链接以提供有关自己的一些个人信息时,他们应注意该链接是安全的还是不安全的。安全链接的地址栏中有“https”,而不安全的链接只有“http”。
为了保护自己免受此类网络钓鱼攻击,如果您尝试访问的html页面不安全,SSL/TLS会向您发出警告消息。此外,如果您要离开安全页面并转到不安全的页面,SSL/TLS仍会向您发出警告。作为最佳实践,用户应始终使用真实的URL/网站以避免网络钓鱼攻击。
使用严格的SSL
在严格SSL(也称为完整SSL)中,对源服务器的身份执行额外的验证,以防止主动窥探和修改您在Internet上的流量。在现实世界中,SSL/TLS加密客户端和网站/服务器之间的通信。但是,MITM攻击诱使用户/客户端在不知不觉中与合法网站/服务器的虚假对应物进行交互。这就是严格的SSL出现的地方。SSL强制客户端的浏览器检查任何网站的身份验证证书,以确保它是否具有有效的证书。MITM攻击无法更改身份验证证书,因此达到了完整SSL的目的。