SSL之父称SSL不会因被攻击而失去生命力

本文讲的是SSL之父称SSL不会因被攻击而失去生命力,SSL/TLS是保护电子商务安全的协议,该协议最近受到了撼动。新闻报道称其证书验证被破坏,且有人发现了协议本身的漏洞。这种破坏可能是无法挽回的,或许需要寻求一些新的保障。

  SSL创建者之一,Axway CTO Taher Elgamal称,虽然发现了SSL/TLS (BEAST)在浏览器中的漏洞,且其证书验证失效,但是如果对其进行适当升级,该协议还是可用的。问题其实无关乎SSL/TLS本身,而是其周边的信任架构,以及修补协议漏洞时产生的问问题。Network World高级编辑Tim Greene最近就此问题采访了Elgamal。以下是双方的对话内容。

  BEAST利用的漏洞早在2004年就已经出现,问题症结在哪里?

  问题有些复杂,安全协议确实存在缺陷,我们应该意识到必须对协议进行升级和修补。全球所有浏览器都是使用TLS,这一协议就存在此漏洞。所以又必要了解这一攻击到底是怎么一回事。

  BEAST的部署方式是在浏览器上安放恶意软件,这样就可以迫使浏览器产生cookies,然后这些cookies会被发送出去,然后再使用中间人攻击的方式获取加密数据。这一用户就遭受了所谓选定的纯文本攻击——用户选择纯文本,读取密文然后尝试进行匹配找出密钥。这种手法相当聪明。

  从实践角度来看,真正的问题是用户不得不在机器上安装恶意软件。其实,如果可以在用户机器上安放恶意软件,就不需要使用SSL,因为攻击者可以在数据加密前看到所有数据。

  这一威胁之所以传播得如此快,是因为全球有二十亿浏览器用户,而且所有浏览器都是用SSL,而且所有电子商务网站使用的都是该协议,因此我们必须谨慎对待。况且,Windows其实是不太理想的操作系统,它很容易被恶意软件利用。

  采取什么方法比较实际?使用TLS 1.1?

  遗憾的是这并非解决之道。很多浏览器目前仍不支持TLS 1.1。这才是问题所在,尽管TLS 1.1已经有两年多的历史。企业用户可以为此做些什么呢?企业用户应该留意恶意软件。确保自己的机器运行状态良好,使用的是a/v和反恶意软件定位工具。

  TLS 1.1有什么负面影响吗?谁都希望一劳永逸,渴望可以获得永久的安全性。在过去十年时间里,电脑技术飞速发展,因此现在安全的东西不代表将来会安全。这倒是跟特定的安装,协议或是操作系统没有关系。必须对有缺陷的地方加以监控,及时更新,而这些都不会是一劳永逸。其实这与SSL没有什么关系,只是因为SSL被广泛使用到电子商务中,才成了替罪羊。作为一种协议,用其本身来做替换并不能解决什么问题。

  事实上,带有内置root密钥的浏览器并非好事,但这种情况却很难改变。我们应该已经把受信任的的对象隔离开。如果不能隔离受信任的root,那么最好是创建一个每个人都要咨询的边缘声誉系统。当浏览器从未知CA处获取证书后,它会对其信誉进行询问。如果这一CA做了不恰当的事情,其信誉会下降,浏览器也会拒绝与其建立连接。比起保护消费者,我们更希望他们对网页的访问更方便。因此,我们才允许访客实施随机信任。在有人信任了某个事物后,很难在当前安装中再对其表示不信任。所以浏览器要放弃一些东西。虽然有些遗憾,但是这仅仅与PKI被部署到浏览器当中的方式有关系,而与特定的协议无关。你可以移除SSL,改用IPSec,相同的问题仍然会存在,因为二者都是使用PKI。

  可以采取什么措施?

  如果有什么办法可以把受信任对象从浏览器供应商中区分开,那自然最好。而受信任的root应该是具备内置信誉生态系统的互联网。所有CA都将内置声誉,因为这就是互联网的运作方式,这样你也拥有更优的信任模式。

  如果发生这种情况,而且人们已经注意到当特定的CA正在发布不良证书的时候,其声誉系统会立刻将其剔除。不需要发布什么补丁,也不需要等别人提醒我们升级,该生态系统会自动完成操作。

  工作机制

  我们必须创建一种机制执行自动更新。如果我们打算使用更新协议完成自动更新,那么出现新版本的时候,它自己会找到更新地址而不需要等待Windows更新。

作者:粟薇/译

来源:it168网站

原文标题:SSL之父称SSL不会因被攻击而失去生命力

时间: 2024-11-25 22:57:12

SSL之父称SSL不会因被攻击而失去生命力的相关文章

【SSL协议】SSL协议详解

背景介绍    最近在看<密码学与网络安全>相关的书籍,这篇文章主要详细介绍一下著名的网络安全协议SSL. 在开始SSl介绍之前,先给大家介绍几个密码学的概念和相关的知识. 1.密码学的相关概念 密码学(cryptography):目的是通过将信息编码使其不可读,从而达到安全性. 明文(plain text):发送人.接受人和任何访问消息的人都能理解的消息. 密文(cipher text):明文消息经过某种编码后,得到密文消息. 加密(encryption):将明文消息变成密文消息. 解密(d

SSL原理及应用(1)SSL协议体系结构

SSL(Secure Sockets Layer ,安全套接层),是为网络通信提供安全及数据完整性的一种安全协议.由Netscape研发,用以保障在Internet上数据传输的安全,利用数据加密(Encryption)技术,确保数据在网络上的传输过程中不会被截取及窃听. 当前几乎所有浏览器都支持SSL,但是支持的版本有所不同.从图8-1中可以看到,IE同时支持SSL 2.0和SSL 3.0两个版本. 图8-1            IE支持的SSL版本 事实上各位读者已经明白了SSL的工作原理,

nginx配置ssl加密(单/双向认证、部分https)

nginx下配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番.一开始采用的是全站加密,所有访问http:80的请求强制转换(rewrite)到https,后来自动化测试结果说响应速度太慢,https比http慢慢30倍,心想怎么可能,鬼知道他们怎么测的.所以就试了一下部分页面https(不能只针对某类动态请求才加密)和双向认证.下面分节介绍. 默认nginx是没有安装ssl模块的,需要编译安装nginx时加入--with

系统管理员如何快速高效的部署SSL和TLS?

本文讲的是系统管理员如何快速高效的部署SSL和TLS?, SSL/TLS是一种简单易懂的技术,很容易部署,也很容易运行.不过存在主要的问题是加密不太容易部署,为了确保TLS提供必要的安全性,系统管理员和开发人员必须花费很大的精力来正确配置其服务器并开发相应的应用程序.所以,我们的目标就是帮助管理员和程序员减少在部署安全站点或Web应用程序上的巨大消耗. 1 私钥和证书 在TLS中,所有安全性都以服务器的加密身份开始,这就需要一个强大的私钥来防止攻击者进行模拟攻击.同样重要的是拥有一个有效和强大的

生死狙击:阻止恶意SSL通信六要点

SSL的使用每年都在稳定增长.将来会有越来越多的互联网通信都会被加密.不幸的是,不仅注重安全的公司和用户在利用加密,黑客们也在使用加密来隐藏其恶意企图.虽然有很多防火墙和威胁预防方案能够解密SSL通信,却不能跟上不断演变的解密需求. 如果黑客进入企业网络,遭受攻击的企业就会面临故障和宕机.收入降低.客户丢失.知识产权失窃等,还要花费高昂的成本来修复损害和对声誉的破坏. 严酷的事实是,如果不部署SSL的检查,企业就面临被攻击的风险.黑客可以隐藏在加密通信中,并渗透到企业网络,安装恶意软件,并从多个

nginx环境下配置ssl加密(单双向认证、部分https)_nginx

nginx下配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番.一开始采用的是全站加密,所有访问http:80的请求强制转换(rewrite)到https,后来自动化测试结果说响应速度太慢,https比http慢慢30倍,心想怎么可能,鬼知道他们怎么测的.所以就试了一下部分页面https(不能只针对某类动态请求才加密)和双向认证.下面分节介绍. 默认nginx是没有安装ssl模块的,需要编译安装nginx时加入--with

php检测服务器SSL是否开启以及开启SSL的方法

php检测服务器SSL是否开启以及开启SSL的方法分享. (1)检测服务器是否开启了SSL <?php phpinfo(); 检查页面的openssl栏目,如果该栏目的OpenSSL support的值为enabled就说明SSL处于开启状态了,否则是关闭状态. (2)开启SSL的方法 1. 打开php.ini  把:extension=php_openssl.dll把前面的符号去掉. 2. 重新启动 apache 或 iis ,重新检查 SSL 开启状态. 如果以上操作无效的话,则还需要进行下

MySQL基于SSL的半同步复制

MySQL的主从复制应用场景非常多,默认的MySQL复制是基于异步且明文传输的,也就是说,速度快,但是从服务器的数据会有着一定的滞后性,明文也就意味着数据传输的不安全.因此笔者这里构建一个简单的基于加密并半同步的主从MySQL,当然由于其半同步的特性,主服务器的写操作速度必会有所降低.究竟如何选择,这取决于场景需要了. 实验环境:RHEL5.8  MySQL5.5.28 192.168.88.21       master.mos.com  master 192.168.88.22      

ssl vpn技术应用

SSL VPN的应用 SSL VPN可以为企业提供多种远程访问的服务.就下面常用服务进行介绍: E-mail:对于企业来说,电子邮件通信是一个很基本的功能.IPSec VPN可以保护邮件系统的安全性,但是IPSec VPN需要安装客户端软件并且连接企业网络,然后才能使用内部的邮件系统.如果员工使用他人的电脑设备或者在其他的的网络中时,就会面临对方防火墙的地址转换和安全策略带来的障碍,无法连接企业网络,从而无法使用内部邮件系统.外出的工作人员在酒电里由于这些问题无法连接到企业内部网络是非常另人头疼