很多人經常跟我提起,現在SSL部署變得越來越簡單,大部分的時候通過搜索引擎或者通過閱讀一些技術人員寫的博客基本上都可以完成一個SSL證書在各類服務器上的部署。儘管SSL與HTTPS服務於各行業站點做加密已經很長時間了,他們仍然不只是安裝上去那麼簡單,在證書的背後,還有一些問題:使用新的更加安全的加密套件,站點內容是否包含有不安全的內容等等,通過對這些問題的深入討論,SSL在服務器上的部署就不那麼簡單了。
對於防止***的***和盜竊網絡資源一直以來是安全行業前進的驅動力,更多的專家不斷的在提出新的方案設計和構建更加安全的防護系統,網絡安全協議作爲其中之一,一直以來更新的網絡安全協議的更新,都是旨在爲提高網絡服務的安全性,保證在線交易服務儘可能的不受到最新風險的威脅。
這種情況的出現也需要系統管理員不斷的調整網絡服務器上的安全策略,去年被廣爲推崇的最好的方案在今年可能已經完全不再適用。因此對於系統管理員的要求也是需要不斷的提高在安全性上的認知,同時也需要獲取更新的安全信息,優化SSL在服務器上的部署,以尋求儘可能保障服務器的安全。
在提高網絡服務器的SSL部署優化方面,我們通常建議系統管理員注意:
使用更加安全的加密套件,這是SSL配置使得系統管理員更爲迷惑的部分之一,同時它也是最重要的一個,無論目前所使用的證書的私鑰長度有多麼強大,但是SSL的加密套件同時也是很重要的,因爲它加密了會話密鑰。
對於這一點,我們提出對常見的服務器支持的方案
Apache
SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2;
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM
EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256
EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP!DSS"
SSLHonorCipherOrder on;
Nginx
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM
EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256
EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP!DSS";
ssl_prefer_server_ciphers on;
這些設定基於服務器的強度加密,互操作性是同時需要服務器和客戶端支持的,也就是說如果在服務器上已經配置了更新的加密套件,也需要儘可能使用比較新的瀏覽器,例如Chrome/Firefox。
在SSL協議下禁用不安全的HTTP調用
通常,我們通過瀏覽器訪問一個已經部署了SSL的網站,如果這個網站中包含了一些非HTTPS的內容調用,這些內容可能是圖片,外站 Javascript,或者其他的一些網頁內的資源,導致了當訪問這個網站時,瀏覽器會提醒當前網站中包含一些不安全的內容,從而無法正常顯示加密狀態的鎖狀標誌。
對於這種情況,最簡單的辦法一般就是通過Chrome瀏覽器自帶的開發者工具,在控制檯中重新加載當前頁面,所有有問題的資源將會顯示在控制檯中,只要盡數將其更改至HTTPS協議保護下的資源,就可以解決如上圖所提示的問題。
在服務器的安全優化以及部署上,本文可能還有很多沒有提及的問題,同時,安全性也不僅僅是軟件問題,同時存在於硬件,例如路由器,防火牆等。
在計算機計算能力迅速發展的今天,對於層出不窮的各種網絡***事件,對於系統管理員來講不僅需要進行日常系統提供的安全更新;同時更應該深入到安全協議層面,只有對協議更加了解,才能防護針對於對協議層面出現的***。
所以一個看似簡單的SSL部署,其可能涉及到的內容並沒有那麼簡單