最新消息:
· 電子認證服務使用密碼許可證換證申請表    2017/10/19      · 中華人民共和國密碼進口許可證申請表    2017/10/19      · 商密處組織開展我省第二批商用密碼安全性評估試點機構能力考核    2021/05/14      · 4·15全民國家安全教育日——統籌發展和安全,筑牢維護國家安全的密碼防線    2021/04/15      · 我國SM9標識加密算法正式成為ISO/IEC國際標準    2021/03/15
  站內搜索:
 
網銀SSL證書部署注意有漏洞
2015-07-28 09:43  營口市

    部署SSL證書是保證網銀系統和電子商務網站機密信息傳輸安全的最有效、最安全的解決方案,也是最簡單的解決方案(因為已經標準化、所有軟件都支持)。但是,用戶往往最容易忽略SSL證書是否得到正確配置,而不安全的配置將導致安全漏洞,給重要系統帶來巨大安全隱患。
    根據WoSign最新推出的“SSL證書免費健康體檢系統”的測試結果表明:我國所有已經部署了SSL證書的網銀系統和第三方支付系統的服務器都有不同程度的SSL安全配置問題(有些甚至囊括了所有已知的安全漏洞),主要涉及以下幾個方面的問題:
    1.許多網銀網站都沒有關閉不安全的傳統SSL通信重新協商機制,更談不上補漏支持安全重新協商機制了。
    美國信息安全專家Marsh Ray與Steve Dispensa于2009年9月份公開了他們發現的TLS/SSL協議的安全漏洞,攻擊者可以利用這種漏洞劫持用戶的瀏覽器,并偽裝成合法用戶。由于 TLS協議中的密鑰再協商功能使得驗證服務器及客戶機身份的一連串動作中存在前后不連貫的問題,因此給了攻擊者可乘之機。不僅如此,這種漏洞還給攻擊者發起Https攻擊提供了便利,Https協議是Http與TLS協議的集合體。
    微軟于2010年2月11日發布了第977377號安全公告《Microsoft 安全公告:TLS/SSL 中的漏洞可能允許欺騙》,要求用戶在受影響的系統上采用禁用TLS和SSL重新協商支持的替代方法,以幫助保護連接到此類服務器的客戶端,免被該漏洞所利用。微軟于2010年8月16日發布了此漏洞的補丁《MS10-049:SChannel 中的漏洞可能允許遠程代碼執行》,凡是允許自動升級的系統都會自動修復此漏洞,使得系統能支持新的TLS/SSL協議擴展項,即支持Secure Renegotiation (安全重新協商)。Apache服務器軟件也提供了相應的補丁。
    但是,這么重大的安全漏洞并沒有引起國內部署了SSL證書的重要系統的重視和采取相應行動。所幸的是:如果服務器采用的是Windows Server系統并支持自動升級的話,微軟已經自動升級和修復了此安全漏洞。但還有許多服務器軟件并不支持自動升級功能,特別是被廣泛使用的Apache 服務器軟件,必須人工升級到最新版。
    2.有許多網站仍然支持不安全的SSL V2.0協議。
    SSL V2.0協議是NetScape公司于1995年2月發布的,由于V2.0版本有許多安全漏洞,所以,1996年緊接著發布了V3.0版本。目前主流瀏覽器(IE、火狐、谷歌、Safari、Opera等)都已經不支持不安全的SSL V2.0協議。SSL V2.0協議的主要安全漏洞有:同一加密密鑰用于消息身份驗證和加密;弱消息認證代碼結構和只支持不安全的MD5摘要算法;SSL握手過程沒有采取任何防護,這意味著非常容易遭遇中間人攻擊;雖然使用TCP連接關閉,以指示數據的末尾,但并沒有明確的會話關閉通知(這意味著截斷攻擊是可能的,攻擊者只需偽造一個TCP FIN,使得接受方無法識別數據結束消息的合法性即可)。
    3.有些網站仍然支持不安全的40位和56位加密套件。
    破解40位DES算法只需幾秒鐘,破解50位DES算法也只需幾天時間,但破解128位3DES算法則需要0.25個10的21次方年才能破解,所以,Web服務器軟件必須只能支持128位以上的加密套件,而關閉不安全的40位和56位加密套件。
    4.有些網站的SSL證書和/或其根證書都是不安全的1024位公鑰。
    微軟和火狐等將于2010年12月31日停止支持1024位公鑰證書,并于2013年12月31日之前刪除所有不安全的、低于2048位的根證書。為了服務器的安全,必須部署從根證書、中級根證書和用戶證書整個證書鏈都是2048位或高于2048位的SSL證書。
    5.許多網銀系統都使用自簽證書或其他不支持瀏覽器的SSL證書,幾乎所有自簽證書都存在以上安全問題,并且自簽證書很容易假冒和受到中間人攻擊。
    為了重要系統的安全,千萬不要使用自簽的SSL證書,避免因此產生的巨大安全隱患和安全風險,特別是重要的網銀系統、網上證券系統和電子商務系統,一定要選購專業證書頒發機構頒發的全球信任的支持瀏覽器的SSL證書,因為證書中許多環節的安全問題是一般的自簽證書頒發系統都沒有很好解決的技術問題。
    6.有些網站的SSL證書安裝時并沒有安裝中級根證書。
    這對于IE瀏覽器是沒有問題的,但火狐瀏覽器訪問時會有安全警告。為了讓用戶能正常訪問部署了SSL證書的網站,必須正確安裝中級根證書。
    SSL證書是解決網銀系統和電子商務網站賬戶登錄安全和賬戶機密信息安全的惟一可靠技術手段,但是千萬不要以為部署了SSL證書就萬事大吉了,不安全的部署可能比不部署還可怕,因為用戶看到有安全鎖標志就以為安全了,實際上卻存在安全漏洞和安全隱患。望所有部署了 SSL證書的網站都使用相關安全工具來自查,發現有哪些安全漏洞后及時聯系證書銷售方獲得技術幫助。
 
                                                                          來源:中國保密在線

關閉窗口
 

地址:遼寧省沈陽市和平區和平南大街28號甲3  郵編:110006  聯系電話:(024)23210363  傳真:(024)23210363

版權所有:遼寧省國家密碼管理局

 
關閉
扒开双腿猛进无遮挡动态图