資源描述:
《SSL之父稱SSL不會(huì)因被攻擊而失去生命力》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)����。
1���、DD丨WWW.CDAFJK.COM丨成都安防監(jiān)控丨SSL之父稱SSL不會(huì)因被攻擊而失去生命力 SSL/TLS是保護(hù)電子商務(wù)安全的協(xié)議�����,該協(xié)議最近受到了撼動(dòng)��。新聞報(bào)道稱其證書驗(yàn)證被破壞�,且有人發(fā)現(xiàn)了協(xié)議本身的漏洞。這種破壞可能是無法挽回的���,或許需要尋求一些新的保障���。DD丨WWW.CDAFJK.COM丨成都安防監(jiān)控丨SSL之父稱SSL不會(huì)因被攻擊而失去生命力 SSL/TLS是保護(hù)電子商務(wù)安全的協(xié)議,該協(xié)議最近受到了撼動(dòng)�����。新聞報(bào)道稱其證書驗(yàn)證被破壞����,且有人發(fā)現(xiàn)了協(xié)議本身的漏洞。這種破壞可能是無法挽回的��,或許需要尋求一些新的保障���。DD丨WWW.CDAFJK.COM丨成都安防監(jiān)控丨 SSL
2�����、創(chuàng)建者之一�����,AxwayCTOTaherElgamal稱���,雖然發(fā)現(xiàn)了SSL/TLS在瀏覽器中的漏洞��,且其證書驗(yàn)證失效��,但是如果對(duì)其進(jìn)行適當(dāng)升級(jí)�����,該協(xié)議還是可用的����。問題其實(shí)無關(guān)乎SSL/TLS本身��,而是其周邊的信任架構(gòu)����,以及修補(bǔ)協(xié)議漏洞時(shí)產(chǎn)生的問問題�。NetworkWorld高級(jí)編輯TimGreene最近就此問題采訪了Elgamal.以下是雙方的對(duì)話內(nèi)容。DD丨WWW.CDAFJK.COM丨成都安防監(jiān)控丨 BEAST利用的漏洞早在2004年就已經(jīng)出現(xiàn)����,問題癥結(jié)在哪里? 問題有些復(fù)雜,安全協(xié)議確實(shí)存在缺陷����,我們應(yīng)該意識(shí)到必須對(duì)協(xié)議進(jìn)行升級(jí)和修補(bǔ)。全球所有瀏覽器都是使用TLS,這一協(xié)議就存
3��、在此漏洞���。所以又必要了解這一攻擊到底是怎么一回事�。DD丨WWW.CDAFJK.COM丨成都安防監(jiān)控丨 BEAST的部署方式是在瀏覽器上安放惡意軟件��,這樣就可以迫使瀏覽器產(chǎn)生cookies,然后這些cookies會(huì)被發(fā)送出去��,然后再使用中間人攻擊的方式獲取加密數(shù)據(jù)�。這一用戶就遭受了所謂選定的純文本攻擊--用戶選擇純文本,讀取密文然后嘗試進(jìn)行匹配找出密鑰����。這種手法相當(dāng)聰明?��! 膶?shí)踐角度來看�����,真正的問題是用戶不得不在機(jī)器上安裝惡意軟件�。其實(shí),如果可以在用戶機(jī)器上安放惡意軟件����,就不需要使用SSL,因?yàn)楣粽呖梢栽跀?shù)據(jù)加密前看到所有數(shù)據(jù)。DD丨WWW.CDAFJK.COM丨成都安防監(jiān)控丨
4���、這一威脅之所以傳播得如此快����,是因?yàn)槿蛴卸畠|瀏覽器用戶���,而且所有瀏覽器都是用SSL,而且所有電子商務(wù)網(wǎng)站使用的都是該協(xié)議���,因此我們必須謹(jǐn)慎對(duì)待。況且�,Windows其實(shí)是不太理想的操作系統(tǒng),它很容易被惡意軟件利用���。 采取什么方法比較實(shí)際��?使用TLS1.1? 遺憾的是這并非解決之道。很多瀏覽器目前仍不支持TLS1.1.這才是問題所在����,盡管TLS1.1已經(jīng)有兩年多的歷史。企業(yè)用戶可以為此做些什么呢�����?企業(yè)用戶應(yīng)該留意惡意軟件�。確保自己的機(jī)器運(yùn)行狀態(tài)良好,使用的是a/v和反惡意軟件定位工具�����。DD丨WWW.CDAFJK.COM丨成都安防監(jiān)控丨 TLS1.1有什么負(fù)面影響嗎�����?誰都希望一勞永
5����、逸,渴望可以獲得永久的安全性�。在過去十年時(shí)間里,電腦技術(shù)飛速發(fā)展�,因此現(xiàn)在安全的東西不代表將來會(huì)安全����。這倒是跟特定的安裝�,協(xié)議或是操作系統(tǒng)沒有關(guān)系。必須對(duì)有缺陷的地方加以監(jiān)控���,及時(shí)更新����,而這些都不會(huì)是一勞永逸����。其實(shí)這與SSL沒有什么關(guān)系,只是因?yàn)镾SL被廣泛使用到電子商務(wù)中�����,才成了替罪羊��。作為一種協(xié)議��,用其本身來做替換并不能解決什么問題�。DD丨WWW.CDAFJK.COM丨成都安防監(jiān)控丨DD丨WWW.CDAFJK.COM丨成都安防監(jiān)控丨 事實(shí)上,帶有內(nèi)置root密鑰的瀏覽器并非好事,但這種情況卻很難改變����。我們應(yīng)該已經(jīng)把受信任的的對(duì)象隔離開�。如果不能隔離受信任的root,那么最好是創(chuàng)建
6、一個(gè)每個(gè)人都要咨詢的邊緣聲譽(yù)系統(tǒng)��。當(dāng)瀏覽器從未知CA處獲取證書后����,它會(huì)對(duì)其信譽(yù)進(jìn)行詢問。如果這一CA做了不恰當(dāng)?shù)氖虑?�,其信譽(yù)會(huì)下降����,瀏覽器也會(huì)拒絕與其建立連接。比起保護(hù)消費(fèi)者��,我們更希望他們對(duì)網(wǎng)頁(yè)的訪問更方便���。因此����,我們才允許訪客實(shí)施隨機(jī)信任�����。在有人信任了某個(gè)事物后,很難在當(dāng)前安裝中再對(duì)其表示不信任��。所以瀏覽器要放棄一些東西���。雖然有些遺憾��,但是這僅僅與PKI被部署到瀏覽器當(dāng)中的方式有關(guān)系���,而與特定的協(xié)議無關(guān)。你可以移除SSL,改用IPSec,相同的問題仍然會(huì)存在���,因?yàn)槎叨际鞘褂肞KI.DD丨WWW.CDAFJK.COM丨成都安防監(jiān)控丨 可以采取什么措施�����? 如果有什么辦法可以把受信
7���、任對(duì)象從瀏覽器供應(yīng)商中區(qū)分開,那自然最好�����。而受信任的root應(yīng)該是具備內(nèi)置信譽(yù)生態(tài)系統(tǒng)的互聯(lián)網(wǎng)。所有CA都將內(nèi)置聲譽(yù)����,因?yàn)檫@就是互聯(lián)網(wǎng)的運(yùn)作方式,這樣你也擁有更優(yōu)的信任模式���。 如果發(fā)生這種情況�����,而且人們已經(jīng)注意到當(dāng)特定的CA正在發(fā)布不良證書的時(shí)候�����,其聲譽(yù)系統(tǒng)會(huì)立刻將其剔除��。不需要發(fā)布什么補(bǔ)丁���,也不需要等別人提醒我們升級(jí)�����,該生態(tài)系統(tǒng)會(huì)自動(dòng)完成操作�。DD丨WWW.CDAFJK.COM丨成都安防監(jiān)控丨 工作機(jī)制 我們必須創(chuàng)建一種機(jī)制執(zhí)行自動(dòng)更新
