SSL漏洞:企业如何生成可信SSL证书(下)

企业SSL防御策略

要使企业和用户抵御来自SSL的威胁,就需要了解企业在哪些地方使用了SSL,以及是如何使用的。这项工作可以使用与EFF和Qualys类似的方法,除此之外还有另外两种方法:监测网络流量,或者在客户端和服务器软件上执行应用程序详细清单(inventories)。在这一步完成后,你首先需要认识到,除非自己的企业在PKI(公钥基础设施)和SSL使用方面经验丰富,否则使用行业标准的SSL或认证中心是不明智的,因为它们极易导致SSL的配置问题。在客户端这一方面,你还需要使用最新的软件和安全配置(其中默认的可信赖认证中心清单是时刻更新的),才能预防由于SSL漏洞导致的攻击。如果企业确实有使用复杂SSL配置的必要(例如使用SSL加速器和只支持某种类型认证的智能卡),并且拥有处理这种复杂配置的专业知识,那么这项配置需要小心地管理,因为SSL会导致不安全的配置,这一点在上述的报告中已经证明了。

最后一项控制只涉及授权(白名单)企业使用的浏览器中所部署的必要认证中心,可以抵制来自潜在恶意认证中心的攻击。然而,这可能需要花费很大的精力,不仅要发现这些必要的认证中心是什么,还要禁用其他的认证中心。

用户可以在一开始就使用Qualys SSL实验室报告中所提出的17种可信赖的SSL证书授予机构,随后再根据自己的需要进行添加。同时,可以考虑使用扩展验证证书,因为扩展验证证书与当前标准的证书相比提供了更高的安全保证。当前的标准证书不仅要考虑授予证书的认证中心,还要考虑向网络浏览器表明所访问网站的合法性。但是,EV(扩展验证)证书不会这么麻烦,它会帮助用户区分不同类型的证书,以及这些证书的授予单位。升级后安全性更高的浏览器会在地址栏上显示一个绿条,以表明使用了扩展验证证书。

结论

虽然SSL的安全风险日益严重,但是SSL/TLS协议一直在改进,服务器和客户系统也致力于应对这些漏洞和攻击。操作系统和应用程序供应商所附带的SSL管理和支持工具的性能有了大幅度的提高。这些工具被用户广泛的应用于维护SSL的安全性以及它的相关系统,这些做法对保护互联网隐私是极其重要的。企业应当经常关注人们对认证中心的讨论,从而获悉在浏览器的证书信任名单中哪些认证中心是默认的,从而避免那些不信任的认证中心被添加在信任名单中。

SSL漏洞:企业如何生成可信SSL证书(上)