【doc】网银SSL证书部署有漏洞

【doc】网银SSL证书部署有漏洞 网银SSL证书部署有漏洞 Application 网银SSL证书部署有漏洞 SSL证书是解决网银 系统和电子商务网站账户 登录安全和账户机密信息 安全的惟一可靠技术手段, 但是千万不要以为部署了 SSL证书就万事大吉,不 安全的部署可能比不部署 还可怕. 部署SSL证书是保证网银系统和电 子商务网站机密信息传输安全的最有效, 最安全的解决也是最简单的解决 方案(因为已经化,所有软件都支 持).但是用户往往最容易忽略SSL 证书是否得到正确配置.而不安全的配 置将导致安全漏洞给重要系统带来巨 大安全隐患. 根据WoSign最新推出的SSL证 书免费健康体检系统"的测试结果表明: 我国所有已经部署了SSL证书的网银系 统和第三方支付系统的服务器都有不同 程度的SSL安全配置问题(有些甚至囊 括了所有已知的安全漏洞),主要涉及 以下几个方面的问题 1.许多网银网站都没有关闭不安全 的传统SSL通信重新协商机制,更谈不 上补漏支持安全重新协商机制了. 美国信息安全专家MarshRay与 SteveDispensa于2009年9月份公 开了他们发现的TLS/SSL的安全 漏洞.攻击者可以利用这种漏洞劫持用 户的浏览器,并伪装成合法用户.由于 TLS协议中的密钥再协商功能使得验证 服务器及客户机身份的一连串动作中存 在前后不连贯的问题因此给了攻击者 可乘之机.不仅如此这种漏洞还给攻 击者发起Https攻击提供了便利.Https 协议是Http与TLS协议的集合体. 发现这一漏洞之后,两位专家很 快将其给了网络安全产业联盟 (1CASI).该联盟由微软,诺基亚,思 科,IBM,英特尔和Juniper公司创立 同时他们还将其报告给了互联网工程任 务组(1ETF)以及几家开源的SSL项 目组织.2009年9月29日这些团体 经过讨论后决定推出一项名为Mogul的 .该计划将负责修补这个漏洞计 划的首要任务是尽快推出新的协议扩展 版,以修复该漏洞. 微软于2010年2月11日发布了 第977377号安全公告((Microsoft安全 公告TLS,sSL中的漏洞可能允许欺 骗》.要求用户在受影响的系统上采用 禁用TLS和SSL重新协商支持的替代方 法.以帮助保护连接到此类服务器的客户 端免被该漏洞所利用.同时,IETF于 2010年2月发布了新的协议扩展版RFC 5746((TransportLayerSecurity(TLS) RenegotiationIndicationExtensionTLS 重新商标识扩展》.各大服务器软件厂 商也纷纷推出了支持此扩展协议的补丁 微软于2010年8月16日发布了此漏洞的 补丁((MS10.049:SChannel中的漏洞可 能允许远程代码执行》.凡是允许自动升 级的系统都会自动修复此漏洞,使得系统 能支持新的TLS/SSL协议扩展项.即支 持SecureRenegotiation(安全重新协商). Apache服务器软件也提供了相应的补丁. 但是.这么重大的安全漏洞并没有 引起国内部署了SSL证书的重要系统的 重视和采取相应行动.所幸的是如果 服务器采用的是WindowsServer系统 并支持自动升级的话,微软已经自动升 级和修复了此安全漏洞.但还有许多服 务器软件并不支持自动升级功能.特别 是被广泛使用的Apache服务器软件. 必须人工升级到最新版. 2.有许多网站仍然支持不安全的 SSLV2.0协议. SSLV2.0协议是NetScape公司于 1995年2月发布的,由于V2.0版本有 许多安全漏洞,所以.1996年紧接着发 布了V3.0版本.目前主流浏览器(1E, 火狐,谷歌,Safari,Opera等)都已经 不支持不安全的SSLV2.0协议.SSL V2.0协议的主要安全漏洞有同一加密 密钥用于消息身份验证和加密弱消息 认证代码结构和只支持不安全的MD5 摘要算法SSL握手过程没有采取任何 防护,这意味着非常容易遭遇中间人攻 击虽然使用TCP连接关闭,以指示数 据的末尾.但并没有明确的会话关闭通 知(这意味着截断攻击是可能的.攻击 者只需伪造一个TCPFIN,使得接受方 无法识别数据结束消息的合法性即可). 3.有些网站仍然支持不安全的40 位和56位加密套件. 破解40位DES算法只需几秒钟 破解50位DES算法也只需几天时间, 但破解128位3DES算法则需要0.25 个10的21次方年才能破解所以, Web服务器软件必须只能支持128位以 上的加密套件,而关闭不安全的40位 和56位加密套件. 4.有些网站的SSL证书和,或其根 证书都是不安全的1024位公钥. 微软和火狐等将于2010年12月 31日停止支持1024位公钥证书.并于 2013年12月31日之前删除所有不安 全的,低于2048位的根证书.为了服 务器的安全必须部署从根证书,中级 根证书和用户证书整个证书链都是2048 位或高于2048位的SSL证书. 5.许多网银系统都使用自签证书或 其他不支持浏览器的SSL证书,几乎所 有自签证书都存在以上安全问题,并且 自签证书很容易假冒和受到中间人攻击. 为了重要系统的安全.千万不要使用 自签的SSL证书避免因此产生的巨大 安全隐患和安全风险特别是重要的网银 系统,网上证券系统和电子商务系统,一 定要选购专业证书颁发机构颁发的全球信 任的支持浏览器的SSL证书.因为证书 Application 中许多环节的安全问题是一般的自签证{ 颁发系统都没有很好解决的技术问题. 6.有些网站的SSL证书安装时并强 有安装中级根证书. 这对于IE浏览器是没有问题的.仨 火狐浏览器访问时会有安全警告.为了 让用户能正常访问部署了SSL证书的圃 站必须正确安装中级根证书. SSL证书是解决网银系统和电子谘 务网站账户登录安全和账户机密信息妄 全的惟一可靠技术手段但是千万不要 以为部署了SSL证书就万事大吉了, 安全的部署可能比不部署还可怕.因为 用户看到有安全锁标志就以为安全了, 实际上却存在安全漏洞和安全隐患.望 所有部署了SSL证书的网站都使用相关 安全工具来自查.发现有哪些安全漏滑 后及时联系证书销售方获得技术帮助.龟 责任编辑:王向东Emai;:jinrong@CCW.comCI3