SSL伺服器配置評級指南

RacentYY發表於2021-09-06
伺服器

SSL/TLS 協議是一種加密網路通訊的安全協議。近年來,基於SSL/TLS的網站越來越多,但很少有人清楚過時的協議或有問題的配置會降低網站的安全性。如何評估網站的安全性成為了網站管理員的盲區。 本篇將透過一種簡單的評估方法,讓您無需成為SSL專家,也能輕鬆評估SSL伺服器配置。

概述

本文使用的評估方法主要包括以下三個部分:

1、 檢查證書是否有效、受信。

2、 參考三個標準對SSL伺服器配置評分

ü   協議支援

ü   金鑰交換

ü   密碼強度

3、 對SSL伺服器配置最終評級

未涉及內容

本指南旨在透過掃描公網上所有配置SSL證書的伺服器,對SSL配置實踐進行大規模自動化檢查、評估,查出SSL伺服器配置問題,以提高自動化評估功能。因此,在評估的過程中不會涉及到一些細節問題,例如不同型別SSL證書是否符合網站用途,以及Web應用程式中的會話劫持問題。

證書特性 目前 SSL證書可分為三種型別:域名驗證型(DV)、組織驗證型(OV) 和擴充套件驗證型 (EV)。本指南要求所有SSL證書權威可信,正確無誤,但不會超出基本要求。現如今主流瀏覽器通常以相同的方式處理域名驗證型和組織驗證型SSL證書,從而為使用者提供類似的安全保障。EV 證書相比之下要好的多,一般被推薦用於高價值的網站。但是,如果沒有一個可以確定網站用途的可靠方法,本指南無法評估某個網站上使用的SSL證書是否符合該網站用途。

Web 應用程式中的會話劫持問題 Web 應用程式可以透過多種方式破壞SSL並降低其其有效性。例如,攻擊者可以檢索未標記為安全的會話cookie,導致會話劫持,致使應用程式受損。雖然這些不是SSL的問題,但卻能影響它的實際應用。用自動化的方式檢測web應用程式的特定問題並非易事,本篇暫不做介紹。與此同時,為了消除對上述問題嚴重性的任何懷疑,我們宣告,任何不正確實現會話令牌傳播的應用程式都將被評為零分。

證書檢查

伺服器證書通常是SSL伺服器配置的最薄弱環節。不受信任的證書(如未知CA頒發的證書)無法防止中間人(MITM)攻擊,致使SSL無效。以其他錯誤方式部署的證書(例如已過期的證書)不僅會導致信任缺失,從長遠來看,還會危及整個網路的安全。

但凡有以下任意一個證書問題都將評為零分:

ü   域名不匹配

ü   證書尚未生效

ü   證書過期

ü   使用自簽名證書

ü   使用不受信任的證書(未知CA或其他驗證錯誤)

ü   使用已吊銷的證書

ü   不安全的證書籤名(MD2或MD5)

ü   不安全的金鑰

注意 :有些組織建立私有CA證書,只要這些CA證書以安全的方式分發給所有需要它的人,則完全合法。

評分標準

SSL 是一種複雜的混合協議,支援跨多個操作階段的多個功能。考慮到其複雜性,我們將從以三個標準進行評估SSL伺服器配置,每類得分佔比如下圖所示,三個標準分數的總和即為最終得分。

(評分標準)

以下將分別介紹評級系統的每個標準的具體內容。

協議支援

先來看看SSL伺服器支援的協議。SSL 2.0和SSL 3.0都有已知的安全漏洞,如今各大作業系統已不再支援SSL 3.0,且TLS 1.0/TLS 1.1的使用佔比也越來越低。由於一個伺服器可以支援多種協議,所以本評級系統採用以下演算法得出最終分數:

ü   從最佳協議的分數開始計算。

ü   同時加上最差協議的分數。

ü   將總分除以2。

透過對比各大SSL/TLS協議,協議支援評分表如下:

 

( 協議支援評分表)

金鑰交換

ü   未經身份驗證的金鑰交換允許主動攻擊者執行MITM攻擊,從而獲得對整個通訊通道的訪問權。

ü   大多數伺服器還依靠非對稱加密來進行金鑰交換。保護伺服器的私鑰越強,破解金鑰交換階段就越困難。弱金鑰或僅使用金鑰的一部分的交換過程(所謂的可匯出金鑰交換)可能導致在交換階段每個會話金鑰更容易破解。一些伺服器使用不依賴於私鑰的金鑰交換機制(金鑰仍用於身份驗證)。兩種流行的加密演算法Diffie-Hellman金鑰交換演算法(DHE)和基於DHE改進的橢圓加密變換ECDHE演算法。如果使用單獨的金鑰交換機制,則整體強度將取決於其演算法強度和私鑰的強度。

金鑰交換評分表如下:

(金鑰交換評分表)

注意 :對於依賴DHE或ECDHE金鑰交換的套件,在確定整體握手強度時應考慮DH引數的強度。許多支援DHE金鑰交換演算法的伺服器使用提供1024位的DH引數。在此類伺服器上,即使私鑰強度更大(通常為2048位),金鑰交換的強度也不會超過1024位。

密碼強度

為了破壞通訊會話,攻擊者可能會破解大量會話中的對稱密碼。強密碼意味著擁有更難以破解的加密強度,這樣也增加了攻擊者破解它的工作量。因為伺服器可以支援不同強度的密碼,所以採用以下演算法進行評分:

ü   從最強密碼的分數開始計算。

ü   同時加上最弱密碼的分數。

ü   將總分除以 2。

密碼強度評分表如下:

 

(密碼強度評分表)

最終評級

根據上述評分標準對SSL伺服器配置打分,最後將不同類別的分數相加得到一個總分(總分:0-100分)。然後參照得分評級表用A-F的字母對伺服器配置評級。

注意: 任意一個類別的分數為0分時,總分都將為0分。

(得分評級表)

當然,我們也會透過應用一系列規則來處理無法透過數字評分評估的伺服器配置的情況。例如如果開啟了不需要的功能,大多情況會降低等級(從A-,B,C,D,到E或F)。一些特殊的安全規則將提高等級(到A +)。

以上就是對SSL伺服器配置的評級內容,您可以參照本指南檢測網站的SSL證書是否安全,有無漏洞,是否符合行業最佳實踐,並根據評級和檢測建議提高伺服器配置的安全性。 如果您有其他相關技術問 題,請諮詢銳成資訊 專業團隊為您提供技術支援!

 

 本文來源銳成資訊,轉載地址:https://www.racent.com/blog/ssl-server-rating-guide


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69998338/viewspace-2790556/,如需轉載,請註明出處,否則將追究法律責任。

相關文章