【51CTO精選譯文】多年以來(lái)，安全套接層加密方案已經(jīng)成為保障Web安全的根本機(jī)制。然而最近一段時(shí)間大量涌現(xiàn)的攻擊行為提出這樣一個(gè)問(wèn)題：SSL及其后續(xù)協(xié)議、傳輸層安保系統(tǒng)是否仍有能力扮演網(wǎng)站驗(yàn)證最佳守護(hù)者的角色？批評(píng)者們認(rèn)為，這些方案不僅自身存在漏洞，在部署方面也難度頗高；不過(guò)業(yè)界內(nèi)大多數(shù)專家還是堅(jiān)定地指出，上述體系本身并非如此不堪一擊——它們只是需要用戶在實(shí)施層面上多花些心思。

SSL與TLS，通常被統(tǒng)稱為SSL，廣泛分布在網(wǎng)絡(luò)世界的各個(gè)角落，用以驗(yàn)證某個(gè)站點(diǎn)的實(shí)際內(nèi)容到底是與其表述一致、抑或是由釣魚(yú)者及其它攻擊者為了竊取機(jī)密數(shù)據(jù)而打造的一個(gè)虛假外殼。SSL還同時(shí)還為我們提供了一套加密基礎(chǔ)設(shè)施，這樣共享數(shù)據(jù)的安全才有保證。整個(gè)體系與網(wǎng)絡(luò)世界聯(lián)系地如此緊密，以至于我們很難想象有哪一套新技術(shù)能夠在短時(shí)間內(nèi)取代它的地位——甚至可以斷言，新機(jī)制大規(guī)模覆蓋SSL的情況幾乎不可能發(fā)生。由于SSL驚人的普及度，我認(rèn)為目前在改善網(wǎng)站運(yùn)作部署方面，采用SSL仍然是最為理想的選擇（至于以后會(huì)如何就由時(shí)間來(lái)檢驗(yàn)吧）。

“即使我們現(xiàn)在認(rèn)定SSL自身存在嚴(yán)重缺陷并且已經(jīng)瀕臨崩潰，但不可否認(rèn)它可能仍然是未來(lái)10年內(nèi)我們所能依賴的最佳防御機(jī)制；如果大家從今天開(kāi)始努力，也許10年之后會(huì)有理想的替代品誕生，”Trustwave公司身份及驗(yàn)證管理業(yè)務(wù)副總裁Brian Trzupek表示，這是一家認(rèn)證授權(quán)及安全服務(wù)供應(yīng)企業(yè)。當(dāng)下以SSL為基礎(chǔ)的最新技術(shù)——TLS 1.2——已經(jīng)解決了已知的所有問(wèn)題。至于其它漏洞，Trzupek認(rèn)為“完全是由SSL的不當(dāng)部署及使用所引發(fā)。”

誠(chéng)然，SSL的信任生態(tài)系統(tǒng)并不完美，但網(wǎng)站經(jīng)營(yíng)者們完全可以采取一些步驟對(duì)其部署進(jìn)行優(yōu)化，以盡量避免可能危及公司數(shù)據(jù)及令客戶承擔(dān)風(fēng)險(xiǎn)的失誤。以下是四項(xiàng)步驟的具體內(nèi)容：

#p#

使用最新版本的協(xié)議及密碼套件

SSL協(xié)議的設(shè)計(jì)非常精巧，完全可以承受多種類型的攻擊。但是在這里我必須強(qiáng)調(diào)一大前提：要得到充分的保護(hù)，網(wǎng)站必須采用最新版本的SSL協(xié)議及密碼套件，而且其服務(wù)器也需要得到正確配置。

但大多數(shù)IT機(jī)構(gòu)并沒(méi)有把上述要求落實(shí)到位。“很多SSL服務(wù)器在配置方面一塌糊涂，”Qualys公司工程部門(mén)總監(jiān)Ivan Ristic指出，這是一家IT安全服務(wù)供應(yīng)商，曾經(jīng)對(duì)120萬(wàn)個(gè)網(wǎng)站的服務(wù)器進(jìn)行過(guò)掃描，以研究SSL當(dāng)前的部署狀況。“根據(jù)我們的觀察，只有約三分之一使用SSL的服務(wù)器經(jīng)過(guò)恰當(dāng)?shù)呐渲?；而在SSL不再安全的言論甚囂塵上的現(xiàn)在，配置正是解決問(wèn)題的關(guān)鍵所在。”

公司的調(diào)查顯示，目前絕大多數(shù)服務(wù)器使用的仍然是落后于最新技術(shù)兩個(gè)版本的SSL工具。大家一定都非常了解為終端打上最新的關(guān)鍵性補(bǔ)丁以防范安全問(wèn)題的重要性，同樣的道理，企業(yè)也應(yīng)該使用跟得上時(shí)代的最新SSL版本以盡量可能會(huì)被攻擊者利用的漏洞，以避免會(huì)話劫持及其它復(fù)雜攻擊活動(dòng)的出現(xiàn)。

從上述觀點(diǎn)出發(fā)，企業(yè)也需要認(rèn)真對(duì)待自身使用的由SSL協(xié)議所支持的實(shí)際加密機(jī)制。

“盡量選擇規(guī)模最大、結(jié)構(gòu)最復(fù)雜的加密密鑰，它們能夠有效地保護(hù)我們身邊需要保護(hù)的設(shè)備，”Trzupek如是說(shuō)。在理想狀況下，企業(yè)應(yīng)該使用256位甚至強(qiáng)度更大的加密機(jī)制。

這是在Web服務(wù)器上正確配置SSL的一項(xiàng)關(guān)鍵性要素，Ristic解釋稱，但還有很多其它值得注意的事項(xiàng)，尤其是在應(yīng)用層面上。

經(jīng)過(guò)調(diào)查，Qualys公司發(fā)現(xiàn)在使用SSL的網(wǎng)站中，SSL普遍沒(méi)有被正確部署在應(yīng)用層中，他補(bǔ)充道。即使是那些對(duì)SSL進(jìn)行了良好配置的網(wǎng)站，也僅僅將著眼點(diǎn)放在協(xié)議層上。而對(duì)于Web應(yīng)用程序與網(wǎng)站，則往往“隨意部署SSL了事，使得攻擊者很容易以此為契機(jī)展開(kāi)惡意活動(dòng)，”他說(shuō)。

舉例來(lái)說(shuō)，許多Web應(yīng)用程序會(huì)在加密身份驗(yàn)證尚不完善的情況下將產(chǎn)品交付用戶使用。“這種情況甚至令我們也感到震驚，”Ristic表示。“人們常常以純文本這種極不科學(xué)的形式輸入用戶名與密碼，而這對(duì)攻擊者們而言無(wú)疑是絕好的機(jī)會(huì)。”

另一種常見(jiàn)的配置錯(cuò)誤是未對(duì)所部署的會(huì)話cookie做出充分保護(hù)，最終使攻擊者很容易訪問(wèn)到這些敏感內(nèi)容。Cookie內(nèi)部必須具備“安全的”編碼構(gòu)造，以確保其免受惡意人士的窺探。“即使大家已經(jīng)對(duì)SSL服務(wù)器做出合理配置，但如果不為會(huì)話cookie添加安全標(biāo)注……那么攻擊者很可能趁機(jī)將內(nèi)容提取出來(lái)并劫持該會(huì)話，”Ristic指出。開(kāi)發(fā)人員需要在創(chuàng)建新應(yīng)用程序時(shí)就刻意避免上述失誤，因?yàn)橐坏┏绦虺尚危瑢?duì)每個(gè)固有漏洞進(jìn)行定義及修復(fù)將變得非常困難。

妥善管理加密密鑰

加密機(jī)制總會(huì)給企業(yè)帶來(lái)行政層面上的負(fù)擔(dān)，其中最大的麻煩就是管理用于信息在網(wǎng)站及用戶之間流通時(shí)加密及解密所必需的公共及私有密鑰。終端用戶利用公共密鑰對(duì)傳輸至網(wǎng)站服務(wù)器的數(shù)據(jù)流進(jìn)行加密，而網(wǎng)站則采用一套私有密鑰對(duì)信息解密，并在用戶的瀏覽器端顯示出他們希望看到的內(nèi)容。

值得一提的是，私有密鑰必須遠(yuǎn)離攻擊者及機(jī)構(gòu)內(nèi)部的惡意人士。任何打算訪問(wèn)私有密鑰的人必須首先獲得與之相匹配的授權(quán)認(rèn)證；而該認(rèn)證則由第三方認(rèn)證授權(quán)機(jī)構(gòu)（簡(jiǎn)稱CA）進(jìn)行核對(duì)，以了解來(lái)訪網(wǎng)站是否合法。因此，攻擊者往往以盜竊手段獲取私有密鑰以及與之對(duì)應(yīng)的授權(quán)認(rèn)證，這樣他們就能將自己的假冒網(wǎng)站以合法的面貌擺上臺(tái)面，進(jìn)而令訪問(wèn)者將其誤認(rèn)作真正的站點(diǎn)并最終導(dǎo)致個(gè)人信息泄露。

但是對(duì)私有密鑰的保護(hù)往往令網(wǎng)站管理更加困難，因?yàn)榘踩耘c便捷性之間存在著天然的對(duì)立關(guān)系。SSL Web服務(wù)器需要能夠在IT管理員完全不介入的情況下直接訪問(wèn)私有密鑰，而站點(diǎn)運(yùn)營(yíng)方則更希望走捷徑，即盡量削弱密鑰的安全保護(hù)機(jī)制，這樣終端用戶才能更加順暢地調(diào)用網(wǎng)絡(luò)內(nèi)容。

“我們必須確保這些密鑰在需要的時(shí)候能夠隨時(shí)使用，”JAS全球顧問(wèn)公司創(chuàng)始人兼首席執(zhí)行官Jeff Schmidt指出，這是一家專業(yè)IT技術(shù)咨詢企業(yè)，在風(fēng)險(xiǎn)管理及戰(zhàn)略技術(shù)風(fēng)險(xiǎn)指導(dǎo)方面頗有心得。“與此同時(shí)，大家需要確保只有自己指定的對(duì)象才能接觸到密鑰。”在大多數(shù)企業(yè)中，私有密鑰都以未加密的形式保存在Web服務(wù)器中，也就是說(shuō)攻擊者完全可以在不具備密碼、智能卡或者其它需要以密碼登錄的設(shè)備時(shí)輕松獲取這些關(guān)鍵信息，Schmidt補(bǔ)充道。

綜上所述，當(dāng)Web服務(wù)器存在漏洞時(shí)——尤其是在安全威脅日益增多的當(dāng)下，業(yè)務(wù)體系中的某些點(diǎn)將不可避免地有所疏忽——攻擊者將得以訪問(wèn)這些密鑰并利用它們創(chuàng)建仿冒服務(wù)器。此外，盡管大多數(shù)網(wǎng)站的經(jīng)營(yíng)者都知道當(dāng)Web服務(wù)器被攻破后，新的授權(quán)認(rèn)證及私有密鑰都應(yīng)該由新的虛擬機(jī)保管，但他們出于成本的考慮往往對(duì)此根本不做必要的調(diào)整。

“我們?cè)谡{(diào)查中發(fā)現(xiàn)了很多此類情況，明明Web服務(wù)器已經(jīng)慘遭攻破，管理人員卻仍然將認(rèn)證機(jī)制原封不動(dòng)地保存在新服務(wù)器上，這簡(jiǎn)直跟直接把密鑰送給攻擊者沒(méi)什么分別。”Schmidt表示。而有了這些密鑰，這幫混球?qū)⒛軌蚍浅７奖愕乩^續(xù)創(chuàng)建偽造證書(shū)及仿冒網(wǎng)站。

保護(hù)公共及私有密鑰最顯而易見(jiàn)、同時(shí)也是最有效的方法之一，就是永遠(yuǎn)不要將它們保存在Web服務(wù)器中。作為安保機(jī)制的核心，私有密鑰更是應(yīng)該加以妥善保管。同樣，也不能將私有密鑰保存在FTP服務(wù)器上，或是出于任何理由將其通過(guò)郵件方式發(fā)送給他人。利用上述不安全的渠道共享或存儲(chǔ)密鑰很可能讓攻擊者有機(jī)可乘，同時(shí)企業(yè)內(nèi)部對(duì)SSL保護(hù)系統(tǒng)有一定了解的非核心員工沒(méi)準(zhǔn)也會(huì)心生歹念。“就在剎那之間，我們苦心打造的安全規(guī)劃、可審核性機(jī)制等等都會(huì)灰飛煙滅，”加密管理服務(wù)廠商Venafi公司CEO Jeff Hudson評(píng)論道。

解決方案其實(shí)并不復(fù)雜，只要使用一款密鑰管理工具，將公共及私有密鑰實(shí)施隔離，再確保SSL系統(tǒng)管理員無(wú)法接觸到私有密鑰即可。網(wǎng)站管理員不應(yīng)該同時(shí)扮演密鑰管理員的角色；務(wù)必要將崗位職責(zé)劃分清楚。

保管好授權(quán)證書(shū)

除了不盡人意的加密密鑰管理工作，SSL網(wǎng)站運(yùn)營(yíng)者們往往對(duì)授權(quán)證書(shū)本身的保護(hù)也很不到位。在擁有企業(yè)內(nèi)部網(wǎng)絡(luò)、大型電子商務(wù)網(wǎng)站或者其它包含敏感數(shù)據(jù)站點(diǎn)的機(jī)構(gòu)中，授權(quán)證書(shū)的數(shù)量可能多達(dá)成千上萬(wàn)。在處理如此海量的授權(quán)證書(shū)時(shí)，企業(yè)往往會(huì)將其分散至各服務(wù)器及網(wǎng)站管理者處，讓他們各自負(fù)責(zé)。這種做法無(wú)疑會(huì)迅速導(dǎo)致混亂及安全威脅。

大型零售商及其它企業(yè)甚至常常不清楚自己手頭到底在使用多少套授權(quán)證書(shū)，Hudson指出。最近某家大型零售企業(yè)就告訴他，其日常業(yè)務(wù)所使用的證書(shū)大約是15000套。而當(dāng)他的團(tuán)隊(duì)對(duì)該企業(yè)的零售基礎(chǔ)設(shè)施進(jìn)行系統(tǒng)檢查后，發(fā)現(xiàn)所涉及的證書(shū)數(shù)量足足翻了一倍。根據(jù)來(lái)自O(shè)sterman研究機(jī)構(gòu)與Venafi的最新調(diào)查結(jié)果，54%的企業(yè)對(duì)機(jī)構(gòu)內(nèi)部用到的數(shù)字證書(shū)數(shù)量沒(méi)有明確概念。

分布式證書(shū)管理領(lǐng)域的一大關(guān)鍵性問(wèn)題在于，沒(méi)有某個(gè)人或團(tuán)隊(duì)專職跟蹤審查證書(shū)的有效日期。也就是說(shuō)，證書(shū)往往在到期之后企業(yè)中仍然無(wú)人留意，如此一來(lái)客戶或其它用戶在訪問(wèn)時(shí)就會(huì)收到提示信息，宣稱證書(shū)可能存在問(wèn)題。更嚴(yán)重的情況下，我們甚至可能因此而無(wú)法訪問(wèn)需要的信息。

“當(dāng)安全證書(shū)失去效力之后，將有大量客戶無(wú)法正常獲得服務(wù)，這時(shí)熱線電話必然一遍又一遍響個(gè)不停。最后，企業(yè)當(dāng)機(jī)立斷對(duì)證書(shū)進(jìn)行更新，而一切再次恢復(fù)平靜，”Trzupek告訴我們。而與此同時(shí)，當(dāng)客戶一次又一次被提醒安全證書(shū)已過(guò)期時(shí)，企業(yè)辛辛苦苦樹(shù)立起來(lái)的印象也在逐漸土崩瓦解。

我們同樣不希望遇上這樣的狀況：客戶及其它用戶由于經(jīng)常在我們的頁(yè)面上看到證書(shū)失效提示，因此將其認(rèn)為合理情況并點(diǎn)擊了“確認(rèn)”按鈕。這不僅破壞了證書(shū)的驗(yàn)證流程，還將我們的網(wǎng)站徹底暴露在攻擊活動(dòng)的威脅之下。

除了沒(méi)有專人跟蹤證書(shū)動(dòng)態(tài)，許多企業(yè)還忽略了制定或是強(qiáng)制執(zhí)行證書(shū)的采購(gòu)流程及政策。程序員們往往會(huì)在匆忙間隨便打開(kāi)某個(gè)CA機(jī)構(gòu)的網(wǎng)站并直接進(jìn)行購(gòu)買(mǎi)，而沒(méi)有考慮該CA機(jī)構(gòu)是否在企業(yè)自身的采購(gòu)名單當(dāng)中。事實(shí)上，從口碑不好的CA機(jī)構(gòu)處隨便弄來(lái)的授權(quán)證書(shū)，在安全性方面根本無(wú)法與信譽(yù)良好的CA機(jī)構(gòu)所提供的嚴(yán)格標(biāo)準(zhǔn)相提并論。

而另外一些企業(yè)所面臨的則是內(nèi)部政策的執(zhí)行力度問(wèn)題，Hudson表示。舉例來(lái)說(shuō)，某家大型電子商務(wù)企業(yè)的管理者制定出一套完備的機(jī)制，明確規(guī)定了哪些人能夠安裝證書(shū)、而這些證書(shū)又應(yīng)該從休息購(gòu)買(mǎi)。但Hudson的研究團(tuán)隊(duì)發(fā)現(xiàn)該企業(yè)的網(wǎng)站中有幾套證書(shū)并不符合上述要求，因?yàn)樽C書(shū)的提供者并不在企業(yè)核準(zhǔn)的名單當(dāng)中。

“我們立即反應(yīng)了這一情況，告訴管理者‘打擾一下，我們?cè)谧蛱斓臋z測(cè)中發(fā)現(xiàn)了三套來(lái)歷不明的證書(shū)，’那人怒發(fā)沖冠、以頭搶桌，憤憤地解釋稱‘我提醒過(guò)那幫家伙別這么干，’”Hudson描述道。

當(dāng)證書(shū)管理機(jī)制手動(dòng)落實(shí)，而證書(shū)的來(lái)源政策卻沒(méi)有被強(qiáng)制執(zhí)行時(shí)，企業(yè)相當(dāng)于對(duì)未知的安全風(fēng)險(xiǎn)敞開(kāi)了大門(mén)。通過(guò)去年DigiNotar與Comodo兩家公司鬧出的亂子，我們可以看出CA供應(yīng)商本身很可能存在著巨大的違規(guī)漏洞。由Venafi贊助、Osterman公司組織進(jìn)行的調(diào)查結(jié)果顯示，約72%的企業(yè)在CA供應(yīng)商出現(xiàn)問(wèn)題時(shí)，不具備一套現(xiàn)有證書(shū)自動(dòng)更替體系。

要對(duì)證書(shū)管理流程做到徹底掌握，不妨考慮在企業(yè)內(nèi)部引入自動(dòng)化跟蹤流程。這類工具會(huì)對(duì)現(xiàn)有證書(shū)進(jìn)行掃描并設(shè)置出對(duì)應(yīng)的自動(dòng)化系統(tǒng)，保證在證書(shū)到期之前做出正確處理。只要這套體系落實(shí)到位，大家只需利用證書(shū)管理平臺(tái)將原本分散在諸多商務(wù)部門(mén)及服務(wù)器管理者手中的證書(shū)進(jìn)行集中，就可以通過(guò)一位專門(mén)的證書(shū)管理員實(shí)施集中式管理；這樣做的同時(shí)，企業(yè)所制定的證書(shū)采購(gòu)政策也自然得到了保障。

“我們都希望擁有一套能夠?qū)⑺胁煌愋偷淖C書(shū)統(tǒng)一交給一位管理員進(jìn)行控制的平臺(tái)，同時(shí)它也要能夠在局部人員有需要時(shí)允許他們登入集中化系統(tǒng)，通過(guò)調(diào)用指定證書(shū)滿足自身的業(yè)務(wù)需求，”賽門(mén)鐵克公司產(chǎn)品營(yíng)銷(xiāo)部門(mén)負(fù)責(zé)人Deena Thomchick解釋道。Entrust、RSA、賽門(mén)鐵克、Trustwave以及Venafi等企業(yè)目前都在提供證書(shū)生命周期管理系統(tǒng)類產(chǎn)品。

#p#

SSL實(shí)施水平情況一覽

SSL配置水平一覽，數(shù)據(jù)由Qualys SSL實(shí)驗(yàn)室提供。

IT安全服務(wù)供應(yīng)商Qualys公司對(duì)已經(jīng)部署了SSL系統(tǒng)的超過(guò)30萬(wàn)臺(tái)Web服務(wù)器進(jìn)行了評(píng)估，其中配置水準(zhǔn)達(dá)到A級(jí)的只占總數(shù)的32%。

公司的SSL實(shí)驗(yàn)室首先調(diào)查了各家網(wǎng)站所使用證書(shū)的有效性與可信性是否經(jīng)過(guò)權(quán)威機(jī)構(gòu)的認(rèn)證。任何連這一點(diǎn)都做不到的網(wǎng)站都會(huì)直接被判0分。

能夠滿足上述評(píng)判條件的網(wǎng)站將迎接以下三個(gè)方面的進(jìn)一步審核：協(xié)議支持、密鑰交換支持以及密碼支持。三項(xiàng)中任何一項(xiàng)無(wú)法達(dá)到最低標(biāo)準(zhǔn)的網(wǎng)站都會(huì)直接被判0分，而完善的部署則能在這一環(huán)節(jié)贏得滿分。

拿到總體B級(jí)及以下評(píng)價(jià)的網(wǎng)站往往只在自己Web服務(wù)器中的SSL采取了默認(rèn)配置，Qualys公司總結(jié)稱。

避免混合型內(nèi)容

經(jīng)過(guò)對(duì)超過(guò)25萬(wàn)個(gè)SSL站點(diǎn)的調(diào)查，Qualys公司發(fā)現(xiàn)超過(guò)五分之一的受訪對(duì)象在網(wǎng)站中部署了混合型內(nèi)容。

混合型內(nèi)容是指，當(dāng)企業(yè)在網(wǎng)站的某個(gè)頁(yè)面中使用SSL時(shí)，卻同時(shí)在該頁(yè)面中提供不受SSL保護(hù)的內(nèi)容。這種做法會(huì)留下易被利用的安全漏洞。攻擊者們能夠?qū)⑽幢患用艿膬?nèi)容攔截下來(lái)，進(jìn)而按自己的意愿對(duì)其進(jìn)行修改。如果網(wǎng)站未經(jīng)加密的部分能夠運(yùn)行腳本，攻擊者將有機(jī)會(huì)通過(guò)DNS感染等方式將網(wǎng)站流量引導(dǎo)至自己的站點(diǎn)處，這無(wú)疑是一種相當(dāng)危險(xiǎn)的破壞手段。

Trustwave公司SpiderLab研究部門(mén)高級(jí)副總裁Nicholas Percoco認(rèn)為，只要我們擁有一套受SSL保護(hù)的HTTPS連接，那么無(wú)論何時(shí)都不應(yīng)該允許外界內(nèi)容傳輸?shù)阶约旱挠蛑校@些內(nèi)容只能由未受保護(hù)的HTTP接收。“必須保證所有頁(yè)面都在SSL的保護(hù)之下，并且經(jīng)過(guò)嚴(yán)格測(cè)試，”他補(bǔ)充道。

同樣，必須利用SSL保護(hù)由客戶及其它用戶所提交的所有形式的內(nèi)容。舉例來(lái)說(shuō)，當(dāng)某位客戶在電子商務(wù)交易過(guò)程中點(diǎn)擊“聯(lián)系我們”按鈕時(shí)，不應(yīng)該出現(xiàn)像“你所瀏覽的網(wǎng)頁(yè)內(nèi)容未被加密”之類的提示信息。

混合型內(nèi)容在擴(kuò)展驗(yàn)證SSL證書(shū)（簡(jiǎn)稱EV SSL）方面帶來(lái)的問(wèn)題尤為嚴(yán)重，Trzupek指出。EV SSL證書(shū)比目前使用較為廣泛的域驗(yàn)證SSL證書(shū)更進(jìn)一步，后者能夠利用最為簡(jiǎn)潔的手段判斷出用戶是否有權(quán)訪問(wèn)處于SSL證書(shū)保護(hù)之下的域。EV SSL證書(shū)部署成本更高，并要求網(wǎng)站擁有者為其打造一套擴(kuò)展化裝置以完善訪問(wèn)者的身份驗(yàn)證流程。使用EV SSL證書(shū)的網(wǎng)站會(huì)在瀏覽器的地址欄中顯示出綠色提示條，以通知用戶該網(wǎng)站處于EV SSL的保護(hù)下。定期域驗(yàn)證SSL則在地址欄中以掛鎖圖標(biāo)表示。

如果大家在網(wǎng)站中引入EV證書(shū)機(jī)制，并將JavaScript資源也納入SSL的保護(hù)當(dāng)中，那么頁(yè)面在瀏覽器上的顯示效果將遠(yuǎn)差于普通SSL，Trzupek解釋道。“許多企業(yè)……投入重金采購(gòu)了一套完善的EV證書(shū)并將其運(yùn)用在品牌網(wǎng)站當(dāng)中，而地址欄中的相應(yīng)組件卻沒(méi)有變綠，他們完全搞不懂這是怎么回事。”

許多證書(shū)驗(yàn)證機(jī)構(gòu)已經(jīng)開(kāi)始在客戶企業(yè)購(gòu)買(mǎi)了EV SSL后向其提供額外EV證書(shū)產(chǎn)品的折扣，因?yàn)檫@樣一來(lái)跨站點(diǎn)部署EV證書(shū)的成本才不會(huì)高得離譜，Trzupek告訴我們。但其中仍然存在問(wèn)題，因?yàn)榇蠖鄶?shù)網(wǎng)站運(yùn)營(yíng)者沒(méi)有意識(shí)到應(yīng)該管理好頁(yè)面中的混合型內(nèi)容。

時(shí)刻保持警覺(jué)大概是解決混合型內(nèi)容問(wèn)題的惟一辦法。企業(yè)必須利用恰當(dāng)?shù)膹V泛測(cè)試與質(zhì)量保障流程才能確保網(wǎng)站及應(yīng)用程序開(kāi)發(fā)工作中不會(huì)摻雜混合型內(nèi)容。

Entrust公司高級(jí)安全主任Tim Moses指出，目前購(gòu)買(mǎi)證書(shū)的客戶大致可以分成兩類：一類購(gòu)買(mǎi)認(rèn)證產(chǎn)品的出發(fā)點(diǎn)是讓自己的網(wǎng)站擁有綠色指示條或者掛鎖圖標(biāo)，這會(huì)令訪問(wèn)者認(rèn)為該企業(yè)在安全性方面較為看重，并由此拉動(dòng)企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力——“他們會(huì)為了獲得這些圖標(biāo)而不擇手段，”他表示。“而另一類網(wǎng)站運(yùn)營(yíng)者則真的是把終端用戶的安全放在第一位，努力幫助自己的用戶免受攻擊侵害。”

大家的企業(yè)屬于哪一種？如果僅僅是打算借此提高市場(chǎng)競(jìng)爭(zhēng)力，那么需要提醒各位的是，僅僅購(gòu)買(mǎi)EV證書(shū)并不能給自己的網(wǎng)站帶來(lái)令人安心的全面保護(hù)。我們還需要關(guān)注自己的SSL服務(wù)器是否配置正確、密鑰管理流程是否得當(dāng)、證書(shū)的采購(gòu)與管理有無(wú)紕漏以及自己的網(wǎng)站中是否存在混合型內(nèi)容?？梢哉f(shuō)，要想切實(shí)保證自己企業(yè)的網(wǎng)絡(luò)得到萬(wàn)全的加密，以上四項(xiàng)步驟缺一不可。

最后，讓我們一起看看10大SSL常見(jiàn)錯(cuò)誤：

#p#

加密服務(wù)供應(yīng)商Entrust公司理事兼證書(shū)驗(yàn)證及瀏覽器標(biāo)準(zhǔn)化設(shè)置論壇創(chuàng)始人Tim Moses為我們提出以下十條反面教材。

1. 服務(wù)器、尤其是流量巨大的網(wǎng)站服務(wù)器缺乏補(bǔ)丁更新機(jī)制。

2. 敏感腳本及表格被托管于不安全的頁(yè)面中。登入頁(yè)面等關(guān)鍵性內(nèi)容一旦脫離了SSL的保護(hù)后果將不堪設(shè)想，因?yàn)橛脩裘c密碼等信息都包含在其中。

3. 使用不具備最新加密技術(shù)的落后密碼套件。

4. 對(duì)私有密鑰的處理不夠安全，包括系統(tǒng)管理之間通過(guò)郵件發(fā)送密鑰等不良習(xí)慣。

5. 在同一個(gè)Web頁(yè)面中同時(shí)提供安全及不安全內(nèi)容，這使得攻擊者很容易對(duì)不安全內(nèi)容實(shí)施注入攻擊。

6. 當(dāng)心已經(jīng)過(guò)期或無(wú)效的SSL證書(shū)，當(dāng)用戶反復(fù)看到失效信息之后，往往會(huì)將此視為正?，F(xiàn)象。

7. 在電子商務(wù)網(wǎng)站中使用域驗(yàn)證證書(shū)，在這類涉及資金交易的關(guān)鍵性部分最好使用安全性更高的擴(kuò)展驗(yàn)證證書(shū)。

8. 為www.example.com提供證書(shū)，卻忽略了example.com這樣的形式。用戶往往喜歡通過(guò)簡(jiǎn)短的地址進(jìn)行登錄。

9. 沒(méi)有為cookie內(nèi)容提供保護(hù)措施。

10. 將密鑰與證書(shū)復(fù)制到多臺(tái)服務(wù)器中，沒(méi)有分別對(duì)每套副本進(jìn)行本地追蹤，而且忽略了這些驗(yàn)證機(jī)制的有效期。

原文：Web Encryption That Works - Dark Reading