SSL安全錯(cuò)誤解決技巧如下所述：

1、禁用對(duì)SSLv2的支持。

該版本的SSL協(xié)議在15多年前就被證明是不安全的，但如今有許多Web服務(wù)器仍在使用它。禁用此協(xié)議用了不多少時(shí)間。例如，在Apache v2中，你需要對(duì)默認(rèn)為配置進(jìn)行改變：

將：SSLProtocol all

變?yōu)椋篠SLProtocol all -SSLv2

2、禁用對(duì)弱加密的支持。

幾乎所有的Web服務(wù)器都支持強(qiáng)加密算法(128位)或極強(qiáng)的加密算法(256位)，但許多服務(wù)器還在支持弱加密，黑客們會(huì)利用這個(gè)漏洞來損害企業(yè)網(wǎng)絡(luò)安全。我們沒有理由支持弱加密，只需用很短的時(shí)間來配置服務(wù)器就可以禁用弱加密：

SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW

3、確保你的服務(wù)器不支持不安全的重新會(huì)話。

SSL和TLS認(rèn)證中的漏洞可以使中間人攻擊利用重新會(huì)話，將任意內(nèi)容插入到加密的數(shù)據(jù)流中。如今，多數(shù)主要的廠商都為此漏洞發(fā)布了補(bǔ)丁，所以如果你還沒有打補(bǔ)丁，就必須實(shí)施安全的重新會(huì)話，或者至少禁用不安全的重新會(huì)話(對(duì)網(wǎng)站作出任何必要的改變)。

4、確保所有的認(rèn)證階段都通過SSL進(jìn)行。

保護(hù)用戶憑證至關(guān)重要，而這意味著在用戶提交表單時(shí)，你需要通過SSL連接發(fā)送用戶登錄的表單，并且借助SSL來保護(hù)其憑證。否則，就有可能被黑客截獲表單，并用一個(gè)別有用心的不安全表單來替換之，進(jìn)而將用戶的憑證發(fā)送到黑客自己的服務(wù)器上。

5、不要在網(wǎng)頁上將SSL保護(hù)的內(nèi)容與明文混在一起。

將二者混在一起會(huì)導(dǎo)致網(wǎng)站遭受損害，因?yàn)橐粋€(gè)不受保護(hù)的源(如JavaScript)可被用于注入惡意代碼，或?qū)е轮虚g人攻擊。

6、使用HSTS協(xié)議來保護(hù)域名(包括子域)。

在用HSTS保護(hù)網(wǎng)站時(shí)，在初次訪問后，到網(wǎng)站的所有鏈接都會(huì)自動(dòng)地從HTTP轉(zhuǎn)換為HTTPS，而且訪問者無法再次訪問網(wǎng)站，除非它擁有一個(gè)合法的、并非自已簽名的數(shù)字證書。這意味著黑客們無法將用戶重向到釣魚網(wǎng)站(黑客通過一個(gè)不安全的鏈接來控制此網(wǎng)站或竊取不安全的會(huì)話cookies)。

必須只能通過HTTPS的應(yīng)答來發(fā)送嚴(yán)格傳輸安全(STS)的報(bào)頭，并且只需簡單的幾行就可以搞定其配置。對(duì)于Apache而言，可以這樣操作：

Header set Strict-Transport-Security "max-age=XXXXXX"

Header append Strict-Transport-Security includeSubDomains

7、使用HttpOnly 和Secure標(biāo)記來保護(hù)cookies

用于認(rèn)證的cookies在SSL會(huì)話期間可被用于損害會(huì)話的SSL安全性。HttpOnly標(biāo)記可以使你發(fā)布的cookies對(duì)客戶端腳本不可見，所以客戶端無法通過跨站腳本攻擊漏洞來竊取cookies，而Secure標(biāo)記意味著，只能通過一個(gè)加密的SSL連接來傳輸cookies，因而cookies無法被截獲。

為了配置你的web服務(wù)器，使其能夠通過HttpOnly 和Secure屬性來發(fā)布cookies從而防護(hù)這兩種攻擊，你只需要簡單地增加將; Secure ; HttpOnly添加到Set Cookie Http響應(yīng)報(bào)頭中：

Set-Cookie: =; =  
; expires=; domain=  
; secure; HttpOnly 

8、使用擴(kuò)展驗(yàn)證(EV)的數(shù)字證書。

雖然對(duì)于網(wǎng)站的安全并非生死攸關(guān)，但擴(kuò)展驗(yàn)證證書卻可以在多數(shù)瀏覽器的地址欄中得到清晰的證實(shí)，即訪問者擁有了一個(gè)到達(dá)網(wǎng)站的安全的SSL連接。只有在認(rèn)證授權(quán)采取了嚴(yán)格的措施來確認(rèn)你的身份后，并且是你控制著發(fā)布證書的域名時(shí)，才會(huì)發(fā)布擴(kuò)展驗(yàn)證證書。

9、確保你的數(shù)字證書包括子域

為避免訪問者收到數(shù)字證書錯(cuò)誤，一定要保證你的SSL證書覆蓋https://www.貴站域名.com和https://貴站域名.com這兩個(gè)URL。你可以使用一個(gè)多域的SSL證書來實(shí)現(xiàn)此功能，這種證書通常會(huì)允許你指定多達(dá)三個(gè)主題選擇名稱(即SAN)，如貴站域名.com或者www.貴站域名.com

SSL錯(cuò)誤的九個(gè)解決方法就呈現(xiàn)給了大家，這些技巧是比較實(shí)用的，大家掌握后就不在為此類錯(cuò)誤而苦惱和迷惑了。

【編輯推薦】

1. 提升SSL安全性的十個(gè)技巧
2. 移動(dòng)辦公漸成趨勢 網(wǎng)御SSLVPN保駕護(hù)航
3. IPSec VPN和SSL VPN：對(duì)比兩種VPN的安全風(fēng)險(xiǎn)
4. 利用假冒SSL證書的釣魚攻擊瞄準(zhǔn)信用卡服務(wù)品牌
5. Stunnel：用途廣泛的SSL加密封裝器