行业新闻与博客

黑客十字准线中的安全套接字层

电子商务企业使用的每个网络安全解决方案都将由黑客进行测试。SSL 证书是目前网络安全的基础。但正如我们所知，自从锁的发明以来，窃贼已经适应了它们; 自从警报系统发明以来，窃贼已经适应了他们的沉默。没有这些恶意方不会试图克服的安全系统。那么 SSL 有多安全？

SSL 安全性取决于证书管理和选择。 并非所有证书颁发机构都是平等的，并且不断研究和分析成功攻击 SSL 的权威机构将成为电子商务企业应该吸引的证书颁发机构。黑客将利用从服务器端到最终用户的任何弱点，即使 SSL 提供安全性，他们也可以找到一种方式。通过应用 SSL 并提供补丁和恒定时间计算，通过服务器端提供解决方案的 SSL 供应商可以帮助在安全方面。安全取决于解决脆弱性领域。

漏洞区域

• 证书颁发机构 - 浏览器将拥有超过 600 个证书颁发机构，黑客需要做的就是找到一个他们能够攻破的证书，并且系统可能会受到攻击。
• 证书颁发机构附近的路由器 - 对 CA 附近的路由器进行妥协可能允许攻击者读取传出的电子邮件，更改传入的域名系统数据包以及中断域验证。
• 妥协 DNS 服务器 - 如果证书颁发机构使用该服务器。或者，伪造受害者域的条目。
• 网络协议 - 针对网络协议的攻击可以通过 TCP 或 BGP 授予对受害者域的电子邮件的访问权限。
• 恶意证书 - 缔约方可以命令 CA 为任何域颁发证书。（鉴于最近发生的事件，也许政府可能会命令一个人为特定目的服务）。

USENIX 安全研讨会揭示了证书撤销列表以及这些证书被撤销的原因。证书撤销的原因之一是“证书颁发机构遭到破坏。”对于 2011 年的 248 个案例，证书颁发机构选择将此列为撤销证书的原因。这些陈述由 14 个独立的证书颁发机构完成。

这样的事件意味着任何 HTTPS 网站的安全性都可能被破坏。 必须对 SSL 和证书颁发机构进行测试，但正在努力修复这些漏洞的 CA 应该受到追捧。

成功 / 潜在的黑客攻击活动

BEAST-（针对 SSL / TLS 的浏览器漏洞利用）在 TLS 版本 1.0 或更早版本中发现了漏洞。许多浏览器都不支持 1.1 或更高版本。因此，易受攻击的版本可能允许黑客在 PayPal，Gmail 或其他网站上进行窃听。BEAST 使用一段 JavaScript 和一个网络嗅探器来解密 cookie 并授予对用户帐户的访问权限。

Lucky13-（可能的攻击代理）： HTTP 严格传输安全（HSTS）是用于帮助浏览器通过 HTTPS 连接到网站的标准。没有它，用户可以访问 HTTPS 页面并在没有它提供的安全性的情况下登录。一个名为 SSLstrip 的工具可以欺骗 Web 浏览器和用户认为它们位于受 SSL 或 HTTPS 保护的站点上。其中一个漏洞就是弱密码块链接。

SSL 证书的未来

SSL 证书将继续作为 Web 安全的基础，但必须考虑这些新的和不断变化的风险，以便努力继续前进。

必须由证书颁发机构进行积极的研究和创新，这些证书颁发机构依赖于确保社会越来越多地参与的电子商务世界。毫不奇怪，SSL 将受到黑客的密切关注，寻求获得任何优势。他们可以这样做，但正如我们所见，SSL 已经成为一种足够强大的网络安全解决方案，可以迫使黑客考虑利用其他入口点。

鉴于这些威胁，满足不断增长的客户标准和要求的证书颁发机构将保持 SSL 证书的完整性作为解决方案。那些质疑 SSL 技术安全性的人需要看起来没有比首次向他们提供此产品的证书颁发机构更远的地方。

非常感谢您对亚洲注册的支持与信任！

禁止转载