HTTPS 安全配置

<返回列表

协议版本选择

SSL2.0 早就被证明是不安全的协议了,统计发现目前已经没有客户端支持 SSL2.0,所以可以放心地在服务端禁用 SSL2.0 协议。
2014 年爆发了 POODLE 攻击,SSL3.0 因此被证明是不安全的。但是统计发现依然有 0.5% 的流量只支持 SSL3.0。所以只能有选择地支持 SSL3.0。
TLS1.1 及 1.2 目前为止没有发现安全漏洞,建议优先支持。

加密套件选择

加密套件包含四个部分:
  1. 非对称密钥交换算法。建议优先使用 ECDHE,禁用 DHE,次优先选择 RSA。
  2. 证书签名算法。由于部分浏览器及操作系统不支持 ECDSA 签名,目前默认都是使用 RSA 签名,其中 SHA1 签名已经不再安全,chrome 及微软 2016 年开始不再支持 SHA1 签名的证书 (http://googleonlinesecurity.blogspot.jp/2014/09/gradually-sunsetting-sha-1.html)。
  3. 对称加解密算法。优先使用 AES-GCM 算法,针对 1.0 以上协议禁用 RC4( rfc7465)。
  4. 内容一致性校验算法。Md5 和 sha1 都已经不安全,建议使用 sha2 以上的安全哈希函数。

HTTPS 防攻击

防止协议降级攻击

降级攻击一般包括两种:加密套件降级攻击 (cipher suite rollback) 和协议降级攻击(version roll back)。降级攻击的原理就是攻击者伪造或者修改 client hello 消息,使得客户端和服务器之间使用比较弱的加密套件或者协议完成通信。
为了应对降级攻击,现在 server 端和浏览器之间都实现了 SCSV 功能,原理参考 https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00。
一句话解释就是如果客户端想要降级,必须发送 TLS_SCSV 的信号,服务器如果看到 TLS_SCSV,就不会接受比服务端最高协议版本低的协议。

防止重新协商攻击

重新协商(tls renegotiation)分为两种:加密套件重协商 (cipher suite renegotiation) 和协议重协商(protocol renegotiation)。
重新协商会有两个隐患:
  1. 重协商后使用弱的安全算法。这样的后果就是传输内容很容易泄露。
  2. 重协商过程中不断发起完全握手请求,触发服务端进行高强度计算并引发服务拒绝。 对于重协商,最直接的保护手段就是禁止客户端主动重协商,当然出于特殊场景的需求,应该允许服务端主动发起重协商。

关键词: https 安全 原创文章,转载请注明: 转载自陕西企尚网络科技有限公司 本文链接地址: HTTPS 安全配置
上一篇:HTTPS 计算性能优化
下一篇:最后一页
https,安全

阅读过此文章的读者,还阅读过下面的文章

企尚网络将重点侧向网

betway必威苹果维护公司 2019-03-20 09:12:45
企尚网络将重点侧向betway必威苹果维护,为客户解后顾之忧国家政策的转变为解决失业率,重点扶持个人创业,中小企业数量如急流搬的在增长,那么现在大 ...查看全文

HTTPS 访问速度优化

betway必威苹果维护公司 2019-03-20 09:12:45
Tcp fast openHTTPS 和 HTTP 使用 TCP 协议进行传输,也就意味着必须通过三次握手建立 TCP 连接,但一个 RTT 的时间内只传输一 ...查看全文

为什么内容做得越来越

betway必威苹果维护公司 2019-03-20 09:12:45
1、内容已经严重拥堵那种以为做出一个逆天创意就能自然刷屏的幻想,跟意淫没什么区别。一个吊炸天的创意,可能被一坨坨屎一样的创意埋得透 ...查看全文

SSL工作原理

betway必威苹果维护公司 2019-03-20 09:12:45
SSL是一个安全协议,它提供使用 TCP IP 的通信应用程序间的隐私与完整性。因特网的 超文本传输协议(HTTP)使用 SSL 来实现安全的通信 ...查看全文

必威手机客户端betway必威苹果betway体育app包维护售

betway必威苹果维护公司 2019-03-20 09:12:45
要知道这个首先需要知道一个服务期,对于企业betway必威苹果等小型项目,我们的服务期是这样的:项目开始的第一年我们赠送价值一年的空间和域名,也就 ...查看全文

HTTPS 使用成本

betway必威苹果维护公司 2019-03-20 09:12:45
HTTPS 目前唯一的问题就是它还没有得到大规模应用,受到的关注和研究都比较少。至于使用成本和额外开销,完全不用太过担心。一般来讲,使 ...查看全文

HTTPS 原理介绍

betway必威苹果维护公司 2019-03-20 09:12:45
1 内容加密加密算法一般分为两种,对称加密和非对称加密。所谓对称加密(也叫密钥加密)就是指加密和解密使用的是相同的密钥。而非对称加 ...查看全文

betway必威苹果建成后的售后服务

betway必威苹果维护公司 2019-03-20 09:12:45
betway必威苹果建成后,betway必威苹果还有一个重要的环节,就是售后服务。也是选择betway必威苹果betway体育app服务商的重要参考标准。一般作为正规的网络公司,制作betway必威苹果的时候,都 ...查看全文

必威手机客户端百度推广怎么开户

betway必威苹果维护公司 2019-03-20 09:12:45
必威手机客户端百度推广怎么开户?1、地域政策需要了解当地的销售体系和地域政策,不同地区、不同代理首次预存款、服务费收费标准都有所差距。特别注 ...查看全文

HTTPS 协议概述

betway必威苹果维护公司 2019-03-20 09:12:45
HTTPS 可以认为是 HTTP + TLS。HTTP 协议大家耳熟能详了,目前大部分 WEB 应用和betway必威苹果都是使用 HTTP 协议传输的。TLS 是传输层加 ...查看全文

什么是展现量

betway必威苹果维护公司 2019-03-20 09:12:45
展现量就是我们企业的广告被展现给网民的次数,也就是有多少人看到广告?之前有客户说展现量和搜索量是不是相等的关系,大家觉得是相等的关 ...查看全文

必威手机客户端betway必威苹果betway体育app公司可提

betway必威苹果维护公司 2019-03-20 09:12:45
必威手机客户端betway必威苹果betway体育app可以提供betway必威苹果维护服务,betway必威苹果在使用过程当中,难免需要清除betway必威苹果当中的缓存,这样才能保证betway必威苹果的运行速度相对来说比较快。而且有 ...查看全文
返回全部新闻
Copyright © 2015 陕西企尚网络科技有限公司 陕ICP备15000158号-1
网络警察 12321垃圾信息举报 不良信息举报 中国文明网