网银SSL证书部署有漏洞

来源 :计算机世界 | 被引量 : 0次 | 上传用户:jiangchong122
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  部署SSL证书是保证网银系统和电子商务网站机密信息传输安全的最有效、最安全的解决方案,也是最简单的解决方案(因为已经标准化、所有软件都支持)。但是,用户往往最容易忽略SSL证书是否得到正确配置,而不安全的配置将导致安全漏洞,给重要系统带来巨大安全隐患。
  根据WoSign最新推出的“SSL证书免费健康体检系统”的测试结果表明:我国所有已经部署了SSL证书的网银系统和第三方支付系统的服务器都有不同程度的SSL安全配置问题(有些甚至囊括了所有已知的安全漏洞),主要涉及以下几个方面的问题:
  1.许多网银网站都没有关闭不安全的传统SSL通信重新协商机制,更谈不上补漏支持安全重新协商机制了。
  美国信息安全专家Marsh Ray与Steve Dispensa于2009年9月份公开了他们发现的TLS/SSL协议的安全漏洞,攻击者可以利用这种漏洞劫持用户的浏览器,并伪装成合法用户。由于TLS协议中的密钥再协商功能使得验证服务器及客户机身份的一连串动作中存在前后不连贯的问题,因此给了攻击者可乘之机。不仅如此,这种漏洞还给攻击者发起Https攻击提供了便利,Https协议是Http与TLS协议的集合体。
  发现这一漏洞之后,两位专家很快将其报告给了网络安全产业联盟(ICASI),该联盟由微软、诺基亚、思科、IBM、英特尔和Juniper公司创立,同时他们还将其报告给了互联网工程任务组(IETF)以及几家开源的SSL项目组织。2009年9月29日,这些团体经过讨论后决定推出一项名为Mogul的计划,该计划将负责修补这个漏洞,计划的首要任务是尽快推出新的协议扩展版,以修复该漏洞。
  微软于2010年2月11日发布了第977377号安全公告《Microsoft 安全公告:TLS/SSL 中的漏洞可能允许欺骗》,要求用户在受影响的系统上采用禁用TLS和SSL重新协商支持的替代方法,以帮助保护连接到此类服务器的客户端,免被该漏洞所利用。同时,IETF于2010年2月发布了新的协议扩展版RFC 5746《Transport Layer Security (TLS) Renegotiation Indication Extension,TLS重新协商标识扩展》。各大服务器软件厂商也纷纷推出了支持此扩展协议的补丁,微软于2010年8月16日发布了此漏洞的补丁《MS10-049:SChannel 中的漏洞可能允许远程代码执行》,凡是允许自动升级的系统都会自动修复此漏洞,使得系统能支持新的TLS/SSL协议扩展项,即支持Secure Renegotiation (安全重新协商)。Apache服务器软件也提供了相应的补丁。
  但是,这么重大的安全漏洞并没有引起国内部署了SSL证书的重要系统的重视和采取相应行动。所幸的是:如果服务器采用的是Windows Server系统并支持自动升级的话,微软已经自动升级和修复了此安全漏洞。但还有许多服务器软件并不支持自动升级功能,特别是被广泛使用的Apache服务器软件,必须人工升级到最新版。
  2.有许多网站仍然支持不安全的SSL V2.0协议。
  SSL V2.0协议是NetScape公司于1995年2月发布的,由于V2.0版本有许多安全漏洞,所以,1996年紧接着发布了V3.0版本。目前主流浏览器(IE、火狐、谷歌、Safari、Opera等)都已经不支持不安全的SSL V2.0协议。SSL V2.0协议的主要安全漏洞有:同一加密密钥用于消息身份验证和加密;弱消息认证代码结构和只支持不安全的MD5摘要算法;SSL握手过程没有采取任何防护,这意味着非常容易遭遇中间人攻击;虽然使用TCP连接关闭,以指示数据的末尾,但并没有明确的会话关闭通知(这意味着截断攻击是可能的,攻击者只需伪造一个TCP FIN,使得接受方无法识别数据结束消息的合法性即可)。
  3.有些网站仍然支持不安全的40位和56位加密套件。
  破解40位DES算法只需几秒钟,破解50位DES算法也只需几天时间,但破解128位3DES算法则需要0.25个10的21次方年才能破解,所以,Web服务器软件必须只能支持128位以上的加密套件,而关闭不安全的40位和56位加密套件。
  4.有些网站的SSL证书和/或其根证书都是不安全的1024位公钥。
  微软和火狐等将于2010年12月31日停止支持1024位公钥證书,并于2013年12月31日之前删除所有不安全的、低于2048位的根证书。为了服务器的安全,必须部署从根证书、中级根证书和用户证书整个证书链都是2048位或高于2048位的SSL证书。
  5.许多网银系统都使用自签证书或其他不支持浏览器的SSL证书,几乎所有自签证书都存在以上安全问题,并且自签证书很容易假冒和受到中间人攻击。
  为了重要系统的安全,千万不要使用自签的SSL证书,避免因此产生的巨大安全隐患和安全风险,特别是重要的网银系统、网上证券系统和电子商务系统,一定要选购专业证书颁发机构颁发的全球信任的支持浏览器的SSL证书,因为证书中许多环节的安全问题是一般的自签证书颁发系统都没有很好解决的技术问题。
  6.有些网站的SSL证书安装时并没有安装中级根证书。
  这对于IE浏览器是没有问题的,但火狐浏览器访问时会有安全警告。为了让用户能正常访问部署了SSL证书的网站,必须正确安装中级根证书。
  SSL证书是解决网银系统和电子商务网站账户登录安全和账户机密信息安全的惟一可靠技术手段,但是千万不要以为部署了SSL证书就万事大吉了,不安全的部署可能比不部署还可怕,因为用户看到有安全锁标志就以为安全了,实际上却存在安全漏洞和安全隐患。望所有部署了SSL证书的网站都使用相关安全工具来自查,发现有哪些安全漏洞后及时联系证书销售方获得技术帮助。
其他文献
近日,在迈克菲公司被Intel公司收购后的静默期,该公司副总裁兼全球首席技术官George Kurtz来到中国,宣布迈克菲公司进入到全新的3.0阶段——将终端安全、网络安全和云安全结合在一起,形成综合的安全互联战略。  他介绍,从历史上看,迈克菲公司经历了三个发展阶段:起步阶段是麦克菲1.0,时间是从成立之初到2007年,这一阶段公司收入的90%来自防病毒产品;从2007年开始到2010年,Dav
卫生行业积累了大量的“烟囱式”信息系统。连日来,行走在卫生行业信息化专家之中,听到最多的词就是“烟囱式”信息系统。    何为“烟囱式”信息系统?就是俗话说的一竿子插到底,数据直接从各个数据源被直接抓取到最终目的地,中间不留任何缝隙。这类信息系统,主要服务于各级综合管理部门的特定数据报告,而且大多通过互联网络通信传输方式,数据不通过任何中间业务节点而直达发起数据请求的业务主管部门。  据了解,这类
用iPhone手机远程访问办公室里的Windows桌面应用,功能体验与坐在电脑前完全相同,应用程序甚至不必安装在手机上——这就是Array Networks发布的桌面快车新模块具有的独特功能。    iPhone热席卷全球,并正从个人消费逐渐转向企业消费,企业为员工提供iPhone手机作为办公工具已经成为趋势。越来越多的企业员工正采用iPhone手机完成各种与业务相关的任务,如果能够通过iPhon
取消快速保存。  当文件打开时,使用快速保存比使用完全保存需要更多的空间。可以在“工具→选项”命令中选择“保存”选项卡,取消“允许快速保存”复选框即可。  多使用另存为。  在保存DOC文件时,只把后来修改的信息存入,这样即使你删除了文件中的部分内容也会使文件越来越大,如果我们使用“另存为”命令来保存文件,Word则会重新整理并存盘,如此一来,就可以有效地减小Word文件的容量。  谨慎嵌入字体。
连接器虽小,但它们却是实现物联网的最基础单元,它们所带来的快速、可靠性、智能化将为物联网的实现夯实基础。    电脑后面那根双绞线能做什么?上网?没错,还有呢?物联网时代,这根线将带给人更多的想象空间。“原本网线中有一根是用来监听网络连通情况的,但在将来,这根预留的线还能检测电脑系统运转是否正常、是否有病毒攻击。”泰科电子高级副总裁兼中国事务委员会主席Gordon Hwang以此为例阐述了连接器可
本报综合消息CPU和GPU谁是核心,英特尔和nVIDIA公司为此争论了很久,现在AMD给出了自己的看法: 都是核心。上周,AMD将这两个部门合并,旨在通过整合提高效率,进而改变连续两年亏损的状态。  6日,AMD公司宣布企业架构重整计划,将现有不同事业群重新整合至4个不同的事业中心,包括领先技术事业群、产品事业群、市场事业群及销售事业群。  其中,CPU和GPU业务将合并到产品事业群,原先负责显示
联想,不再是那个做PC的,它正雄心勃勃地进军移动互联;  思科,不再是那个做网络的,它正深入传统IT厂商雄踞的数据中心;  Wintel,不再是那个无坚不摧的联盟,它已在移动互联时代分崩离析;  跨界,是2010年IT产业的关键词。它从上游产业席卷到下游终端,PC、软件、互联网没有一个领域可以幸免。  跨界意味着生存。尽管在传统领域拥有不可撼动的地位,但是,苹果的神话、Facebook的传奇,让这
目前网游都自称为“免费”,宣传“不花一分钱就可以在游戏中玩得很好”,那么,网游公司是如何依靠“免费”赚钱的?  “目前的免费游戏实质上并非真正意义上免费。玩家进入游戏时没有门槛,但玩着玩着,就要付钱购买游戏道具以获得更好体验。”大承网络副总裁蒋侃说,“从某种程度而言,玩家其实知道免费只是噱头,虽然略有反感,但大家早已心照不宣。”  为了不再以免费为噱头聚拢人气,大承网络将在网游收费模式上进行新探索
2009年,中国IT界最火爆的话题之一就是“物联网”。历经17年、带来了我国智能卡产业大发展的金卡工程,正是我国物联网产业链完善的重要基础。  “利国惠民,成绩斐然”,这是人们对金卡工程的评价。金卡工程是中国信息化建设的四个起步工程之一,在国家信息化重大工程中,金卡工程最贴近百姓,为改善民生、普惠大众、构建和谐社会发挥了重要作用。17年来,参与国家金卡工程建设的各有关部门和地方充分发挥团队精神,求
最新一期IDC报告显示,本土信息安全企业联想网御连续3年成为国内信息安全市场高速增长的冠军; 同时,该公司还加入了国际云安全联盟,成为国内仅有的两家跟进国际云安全技术的信息安全厂商之一。近日,本报总编辑孙定与联想网御总裁刘科全就国内信息安全形势,以及本土信息安全企业未来发展趋势等话题进行了深入交流。    安全行业  进入调整转折期    国内信息安全产业开始进入调整转折期,转折的根本点在于用户对