SSL/TLS?協議是一種加密網絡通信的安全協議。近年來，基于SSL/TLS的網站越來越多，但很少有人清楚過時的協議或有問題的配置會降低網站的安全性。如何評估網站的安全性成為了網站管理員的盲區。?本篇將通過一種簡單的評估方法，讓您無需成為SSL專家，也能輕松評估SSL服務器配置。

概述

本文使用的評估方法主要包括以下三個部分：

1、?檢查證書是否有效、受信。

2、?參考三個標準對SSL服務器配置評分

ü???協議支持

ü???密鑰交換

ü???密碼強度

3、?對SSL服務器配置最終評級

未涉及內容

本指南旨在通過掃描公網上所有配置SSL證書的服務器，對SSL配置實踐進行大規模自動化檢查、評估，查出SSL服務器配置問題，以提高自動化評估功能。因此，在評估的過程中不會涉及到一些細節問題，例如不同類型SSL證書是否符合網站用途，以及Web應用程序中的會話劫持問題。

證書特性?目前?SSL證書可分為三種類型：域名驗證型(DV)、組織驗證型(OV) 和擴展驗證型 (EV)。本指南要求所有SSL證書權威可信，正確無誤，但不會超出基本要求。現如今主流瀏覽器通常以相同的方式處理域名驗證型和組織驗證型SSL證書，從而為用戶提供類似的安全保障。EV 證書相比之下要好的多，一般被推薦用于高價值的網站。但是，如果沒有一個可以確定網站用途的可靠方法，本指南無法評估某個網站上使用的SSL證書是否符合該網站用途。

Web?應用程序中的會話劫持問題?Web?應用程序可以通過多種方式破壞SSL并降低其其有效性。例如，攻擊者可以檢索未標記為安全的會話cookie，導致會話劫持，致使應用程序受損。雖然這些不是SSL的問題，但卻能影響它的實際應用。用自動化的方式檢測web應用程序的特定問題并非易事，本篇暫不做介紹。與此同時，為了消除對上述問題嚴重性的任何懷疑，我們聲明，任何不正確實現會話令牌傳播的應用程序都將被評為零分。

證書檢查

服務器證書通常是SSL服務器配置的最薄弱環節。不受信任的證書（如未知CA頒發的證書）無法防止中間人(MITM)攻擊，致使SSL無效。以其他錯誤方式部署的證書（例如已過期的證書）不僅會導致信任缺失，從長遠來看，還會危及整個網絡的安全。

但凡有以下任意一個證書問題都將評為零分：

ü???域名不匹配

ü???證書尚未生效

ü???證書過期

ü???使用自簽名證書

ü???使用不受信任的證書（未知CA或其他驗證錯誤）

ü???使用已吊銷的證書

ü???不安全的證書簽名（MD2或MD5）

ü???不安全的密鑰

注意?：有些組織創建私有CA證書，只要這些CA證書以安全的方式分發給所有需要它的人，則完全合法。

評分標準

SSL?是一種復雜的混合協議，支持跨多個操作階段的多個功能。考慮到其復雜性，我們將從以三個標準進行評估SSL服務器配置，每類得分占比如下圖所示，三個標準分數的總和即為最終得分。

（評分標準）

以下將分別介紹評級系統的每個標準的具體內容。

協議支持

先來看看SSL服務器支持的協議。SSL 2.0和SSL 3.0都有已知的安全漏洞，如今各大操作系統已不再支持SSL 3.0，且TLS 1.0/TLS 1.1的使用占比也越來越低。由于一個服務器可以支持多種協議，所以本評級系統采用以下算法得出最終分數：

ü???從最佳協議的分數開始計算。

ü???同時加上最差協議的分數。

ü???將總分除以2。

通過對比各大SSL/TLS協議，協議支持評分表如下：

?

(?協議支持評分表)

密鑰交換

ü???未經身份驗證的密鑰交換允許主動攻擊者執行MITM攻擊，從而獲得對整個通信通道的訪問權。

ü???大多數服務器還依靠非對稱加密來進行密鑰交換。保護服務器的私鑰越強，破解密鑰交換階段就越困難。弱密鑰或僅使用密鑰的一部分的交換過程(所謂的可導出密鑰交換)可能導致在交換階段每個會話密鑰更容易破解。一些服務器使用不依賴于私鑰的密鑰交換機制(密鑰仍用于身份驗證)。兩種流行的加密算法Diffie-Hellman密鑰交換算法（DHE）和基于DHE改進的橢圓加密變換ECDHE算法。如果使用單獨的密鑰交換機制，則整體強度將取決于其算法強度和私鑰的強度。

密鑰交換評分表如下：

（密鑰交換評分表）

注意?：對于依賴DHE或ECDHE密鑰交換的套件，在確定整體握手強度時應考慮DH參數的強度。許多支持DHE密鑰交換算法的服務器使用提供1024位的DH參數。在此類服務器上，即使私鑰強度更大（通常為2048位），密鑰交換的強度也不會超過1024位。

密碼強度

為了破壞通信會話，攻擊者可能會破解大量會話中的對稱密碼。強密碼意味著擁有更難以破解的加密強度，這樣也增加了攻擊者破解它的工作量。因為服務器可以支持不同強度的密碼，所以采用以下算法進行評分：

ü???從最強密碼的分數開始計算。

ü???同時加上最弱密碼的分數。

ü???將總分除以 2。

密碼強度評分表如下：

?

（密碼強度評分表）

最終評級

根據上述評分標準對SSL服務器配置打分，最后將不同類別的分數相加得到一個總分（總分：0-100分）。然后參照得分評級表用A-F的字母對服務器配置評級。

注意：?任意一個類別的分數為0分時，總分都將為0分。

（得分評級表）

當然，我們也會通過應用一系列規則來處理無法通過數字評分評估的服務器配置的情況。例如如果開啟了不需要的功能，大多情況會降低等級（從A-，B，C，D，到E或F）。一些特殊的安全規則將提高等級（到A +）。

以上就是對SSL服務器配置的評級內容，您可以參照本指南檢測網站的SSL證書是否安全，有無漏洞，是否符合行業最佳實踐，并根據評級和檢測建議提高服務器配置的安全性。?如果您有其他相關技術問?題，請咨詢銳成信息?專業團隊為您提供技術支持！

總結

以上是生活随笔為你收集整理的SSL服务器配置评级指南的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。