美国社会保障局SSL安全等级不明跃升，如何快速提升SSL安全等级？

本文原作者Michael Horowitz，最近在它自娱自乐的博客里写下了 ssa.gov的安全章节。该网站是美国政府旗下的社会保障管理局的网站，但它不够安全。如上所示，它被SSL实验室的服务测试评为C级，真是糟糕的评级结果。

SSL是SecuritySocketLayer的缩写，可称为安全套接字，简称为加密通讯协议。

当选择“SSL安全登录”后登录网站，用户名和密码会首先加密，然后通过SSL连接在 互联网上传送，没有人能够读取或访问到你利用该连接传送的数据。从而对通讯(包括E-mail)内容进行高强度的加密。

 该网站的主要部分“www”部分，是完全安全的，但该部分是公民输入用户名和密码来登入secure.ssa.gov网站的路径，这里有两个SSL / TLS漏洞。

这些不是标题党漏洞，也没有哪家安全公司剑指俄罗斯黑客。没人知道有多少因为此漏洞有多少的密码泄露了。而且，从 Computerworld网站的页面来查看报告，很少有人了解他们。

我试图联系社会保障管理局，但得不到回应。

 

 

现在secure.ssa.gov安全系数很高

尽管如此，以前不够安全的secure.ssa.gov，现在真的很安全。从SSL实验室目前的评级来看，其安全级别达到了A+。

感谢Twitter用户avareltech指出这个。

这给我们一个教训——要确保SSL / TLS等级到位（安全的Web页的基本HTTPS协议）是很难的。SSL实验室的任何一份完整的报告都能显示出它极其复杂。声称数据可被安全地传输，这有点不切实际。

以下是一些提高SSL安全性的小方法：

1.禁用SSLv2

1. SSLProtocol all  

2.   to  

3.   SSLProtocol all -SSLv2 

2.禁止支持弱加密：

SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW 

3.SSL和TLS身份认证的漏洞容易遭到中间人攻击的利用，可先禁用重定义服务。

4.确保通过SSL认证的所有阶段。保护用户证书。

5.在你的网页上不要把SSl保护的内容和明文内容混在一块。

6.使用HSTS加密保护你的域（包括子域）。

STS协议头必须保证只通过HTTPS发送，并且配置应该尽可能地清晰简单。例如在Apache中，可输入：

1.   Header set Strict-Transport-Security "max-age=XXXXXX"  

2.   Header append Strict-Transport-Security includeSubDomains 

7.使用HttpOnly和安全标识保护cookies。
用HttpOnly配置Web服务器，保护cookies。用HttpOnly来设置Cookie Http响应前端：

1. Set-Cookie: =; =  

2.   ; expires=; domain=  

3.   ; secure; HttpOnly 

8.使用扩展验证（Extended Validation（EV））证书。

9.确保证书被包含在子域当中。要确保https://www.yourdomain.com和https://yourdomain.com 覆盖了SSL证书。

10.进行SSL服务器测试。

本文由漏洞银行（BUGBANK.cn)小编  柠檬 翻译，源文译自 computerworld.com。

作者：柠檬
链接：http://www.bugbank.cn/news/detail/57e8c07446acea9211f0a00d.html
来源：漏洞银行
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。