【51CTO.com 獨(dú)家譯稿】你的SSL服務(wù)器上是否存在錯(cuò)誤配置或已知漏洞這樣的安全隱患呢？根據(jù)以下10個(gè)技巧，可以幫你避免這些常見的SSL安全威脅。

1.禁用SSLv2。早在15年前，這個(gè)版本的SSL協(xié)議早就被確認(rèn)存在安全問(wèn)題了，但還是有很多Web服務(wù)器仍然支持這個(gè)協(xié)議。

禁用它只需幾分鐘的時(shí)間。例如，在Apache v2中，你只需要改變默認(rèn)設(shè)置：

SSLProtocol all  
to  
SSLProtocol all -SSLv2 

2.禁止支持弱加密。幾乎所有Web服務(wù)器都支持128位強(qiáng)度或者256位高強(qiáng)度的加密算法，但也有少部分的Web服務(wù)器支持弱加密。弱加密會(huì)被黑客利用，威脅企業(yè)信息安全。所以，沒有理由去支持弱加密服務(wù)。同樣，在幾分鐘之內(nèi)就可以禁用掉這個(gè)服務(wù)，例如：

SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW 

3.確保你的服務(wù)器沒有支持不靠譜的重新握手和協(xié)商過(guò)程。SSL和TLS身份認(rèn)證的漏洞容易遭到中間人攻擊的利用，進(jìn)而導(dǎo)致任何內(nèi)容都可以重定義并注入到加密的數(shù)據(jù)流當(dāng)中。大部分廠商都發(fā)布了此漏洞的補(bǔ)丁，若你還沒有打這個(gè)補(bǔ)丁，最好還是先禁用這個(gè)重定義服務(wù)吧。

4.確保通過(guò)SSL認(rèn)證的所有階段。關(guān)鍵是要保護(hù)你的用戶證書，也就是說(shuō)用戶通過(guò)SSL連接提交給你登錄表單，同時(shí)，你要保護(hù)他們的證書安全。否則，黑客會(huì)通過(guò)他們自己的服務(wù)器來(lái)攔截你的信息并轉(zhuǎn)發(fā)一個(gè)惡意信息給用戶，以便竊取到用戶們的授權(quán)證書。

5.在你的網(wǎng)頁(yè)上不要把SSl保護(hù)的內(nèi)容和明文內(nèi)容混在一塊。混合使用加密認(rèn)證會(huì)導(dǎo)致你的網(wǎng)站受到攻擊，因?yàn)橄馢avascipt這種單個(gè)未受保護(hù)的資源容易被注入惡意代碼或者是受到中間人攻擊。

6.使用HSTS加密保護(hù)你的域（包括子域）。用HSTS協(xié)議來(lái)保護(hù)你的網(wǎng)站，在你首次訪問(wèn)網(wǎng)站中的任何連接時(shí)，可以將HTTP自動(dòng)轉(zhuǎn)換成HTTPS。與此同時(shí)，若用戶持非法私有證書，是不能再次瀏覽該網(wǎng)站的。這就意味著，黑客將不能你的用戶轉(zhuǎn)移到那些他們所操控的具有不安全SSL連接以及危險(xiǎn)cookies信息的釣魚網(wǎng)站了。

STS協(xié)議頭必須保證只通過(guò)HTTPS發(fā)送，并且配置應(yīng)該盡可能地清晰簡(jiǎn)單。其配置只需要簡(jiǎn)單的兩行命令。例如在Apache中，你可以輸入下面的命令：

Header set Strict-Transport-Security "max-age=XXXXXX"  
Header append Strict-Transport-Security includeSubDomains 

7.使用HttpOnly和安全標(biāo)識(shí)來(lái)保護(hù)cookies。用來(lái)鑒定SSL會(huì)話持續(xù)時(shí)間的cookies常常會(huì)削弱SSL會(huì)話的安全性。HttpOnly標(biāo)識(shí)可以隱藏你的客戶端腳本，所以他們不能通過(guò)跨站點(diǎn)腳本攻擊來(lái)竊取信息。也就是說(shuō)，安全標(biāo)識(shí)cookies只能通過(guò)加密的SSL來(lái)傳輸，因此不能被截獲。

用HttpOnly來(lái)配置你的Web服務(wù)器，從而保護(hù)cookies。通過(guò)這樣簡(jiǎn)單增加安全屬性的方法，可以防御上述兩種類型的攻擊；用HttpOnly來(lái)設(shè)置Cookie Http響應(yīng)前端：

Set-Cookie: =; =  
; expires=; domain=  
; secure; HttpOnly 

推薦閱讀：利用HTTP-only Cookie緩解XSS之痛

8.使用擴(kuò)展驗(yàn)證（Extended Validation（EV））證書。雖然這個(gè)證書對(duì)于你的網(wǎng)站安全來(lái)說(shuō)并不是非常必要，但是EV證書可以在地址搜索欄上展示出明確的視覺確認(rèn)效果，通過(guò)安全的SSL連接，用戶可以一下子就確認(rèn)是你的網(wǎng)站，而非釣魚網(wǎng)站。

推薦閱讀：EV SSL 服務(wù)器證書是什么

EV SSL 證書是如何誕生的？

9.確保你的證書被包含在子域當(dāng)中。為了避免網(wǎng)站用戶得到錯(cuò)誤的證書，你要確保https://www.yourdomain.com和https://yourdomain.com 都覆蓋了你的SSL證書。

你可以使用多域名SSL證書，它可以允許你最多選擇三個(gè)主名（SNAs）例如yourdomain.com 或 www.yourdomain.com

10.進(jìn)行SSL服務(wù)器測(cè)試。使用Qualys公司的SSL實(shí)驗(yàn)室可以進(jìn)行免費(fèi)測(cè)試，你可以檢查SSL服務(wù)器配置，認(rèn)證鏈，以及協(xié)議和密碼組在內(nèi)的整體SSL安全狀態(tài)。

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】