安全部署和配置SSL 避免SSL漏洞

　　自1994年由Netscape开发以来，安全套接字层(SSL)一直不断受到攻击。X.509公钥基础设施的安全和完整性最近也出现很多问题。尽管有很多关于SSL安全的警告，如果正确部署和配置的话，SSL仍然能够用于保护不安全网络间的数据传输。在本文中，我们将讨论SSL漏洞对企业构成的威胁程度，并提供了安全部署和配置SSL的方法。

　　SSL安全问题

　　由于大家越来越多地依赖于SSL来保护通信，现在不安全地使用SSL对企业和用户造成的威胁要比两年前更大。最近的攻击有Comodo和DigiNotar证书机构遭遇的中间人攻击，以及PKI证书颁发机构(CA)发布假冒中间CA或者服务器证书(可以用于攻击SSL连接)等其他攻击。这些证书甚至可以由企业用来监控他们自己网络中的通信。

　　更大的问题是，SSL并不提供web应用程序或系统需要保护数据或系统的功能，SSL只是为通过网络传输的数据提供了强大的保护，并且加密技术可以在很多其他地方保护数据。如果SSL或者加密部署不安全或者系统不安全，用来保护系统的加密算法将失去意义。

　　除了SSL核心加密技术和密钥交换方法中存在的问题，更多安全问题出现在企业SSL部署中，这些问题包括使用弱加密技术，以及为不同的主机名使用相同的证书。

　　抵御SSL漏洞

　　当在SSL中发现漏洞时，企业应及时更新补丁，确保大部分程序的修复和保护与其他软件一样。由于SSL的复杂性以及支持SSL的设备的种类多样，这可能是一项艰巨的任务，如果修复程序不能向后兼容的话，修复工作将花费很多时间和精力。像其他任何补丁修复一样，SSL的补丁必须进行完全的测试以确保它不会破坏任何功能。测试系统可能还需要连接到补丁系统以确保它们仍然能够连接。

　　为了防范SSL漏洞，企业可以从三个方面采取适当保护措施：用户、客户和服务。企业可以通过安装强制使用SSL的浏览器插件来保护用户，这方面的工具包括电子前沿基金会的FireFox插件(被称为HTTPS Everywhere)，该插件将在SSL可用的情况下强制使用SSL。还有Convergence，该工具可以更好的控制受浏览器信任的CA。企业还应该对用户进行安全意识培训，以确保他们总是使用安全的连接。用户不必对如何保护其连接做出复杂的技术性的决定，但他们应该要了解使用安全连接的重要性。这些保护方法也同样适用于企业的客户，但企业只能提供安全连接服务来帮助他们巩固良好的连接习惯。

　　企业还应该确保老旧的不太安全的SSL部署已经停用，以抵御降级攻击，在这种攻击中，客户端系统被诱使使用不安全的连接。IETF(互联网工程任务组)一直致力于改进SSL以提高SSL系统的安全状态。

　　结语

　　如果正确部署和配置的话，SSL仍然能够很好地保护数据传输，然而，现在更广为人知的是，不安全地使用SSL带来的风险以及漏洞问题。

　　核心加密技术和密钥交换方法是发现新攻击形式和改善工作的核心，不过部署过程仍然在更大程度上决定着SSL的安全性。终端用户可能永远不会注意到这些改进，但企业、服务器运营商和软件开发商必须实施这些改进和升级。在过去两年中，人们才逐渐意识到SSL的重要性。越来越多的用户开始使用不同的网络或者设备来访问社交网络以及互联网，然而，无论他们选择什么方式，他们仍然希望通过加密连接来保护他们使用互联网。