電子商務領域SSL證書最佳實踐-2017
互諾科技:2017-04-08 14:07 閱讀數(shù):
標簽:
國際支付卡行業(yè)協(xié)會PCI(Payment Card Industry )安全標準委員會在2017年1月��,為PCI數(shù)據安全標準(PCI DSS)添加了補充方案,詳述安全電子商務最佳實踐����,推薦電子商務企業(yè)部署OV SSL證書和EV SSL證書��,通過更高級別的認證建立在線信任��,提升消費者在線交易的信心����,其中詳細的安全部署建議值得電子商務企業(yè)參考����。
SSL證書的重要性
電子商務過程涉及用戶數(shù)據的存儲和傳輸、用戶瀏覽行為的記錄����、付款操作及持卡人信息安全等諸多方面。一些常見的電子商務實現(xiàn)包括:付款處理應用程序��,應用程序編程接口(API)����,電子數(shù)據交換(EDI)的網關,內聯(lián)框架(IFrames)或由第三方托管的付款頁面等等����。PCI數(shù)據安全標準要求電子商務企業(yè)需要通過各類技術在各個環(huán)節(jié)����,確保用戶隱私數(shù)據及支付信息的安全。
SSL證書在電子商務網站����、API及網關傳輸?shù)确矫娴膽枚计鸬椒浅V匾饔谩>W站上安裝SSL證書�����,對瀏覽器傳輸?shù)骄W站服務器的數(shù)據進行加密,確保數(shù)據不會被竊聽者攔截��,認證網站服務器的真實身份�����,讓用戶確信敏感信息(支付卡信息或其他數(shù)據等)正發(fā)送到正確的服務器��,而不是欺詐者或數(shù)據竊取者的服務器�����。
不是所有SSL證書都具備同等信任
雖然所有類型的SSL證書都符合PCI數(shù)據安全標準對于公共網絡傳輸加密的要求�����,但是并非所有SSL證書都具備同等信任水平����。證書頒發(fā)機構(CA)提供三種不同的服務器驗證方式����,對應三種信任級別的SSL證書:域名驗證型DV SSL證書、企業(yè)驗證型OV SSL證書和擴展驗證型EV SSL證書����。其中只有OV SSL證書和EV SSL證書才能真正幫助電子商務行業(yè)實現(xiàn)安全與可信��,這也是PCI安全標準委員會推薦這兩類證書的主要原因����。
(1)DV SSL證書的缺陷
SSL證書設計之初被賦予兩個重要使命�����,一方面是實現(xiàn)數(shù)據加密傳輸����,保護數(shù)據安全,另一方面是進行服務器身份認證����,確保網站身份真實可信����。OV SSL證書是早期唯一類型的SSL證書,CA機構必須驗證域名所有權��、企業(yè)真實身份等詳細信息后�����,才會給申請企業(yè)頒發(fā)證書。
圖一:OV SSL證書認證信息展示
由于一些企業(yè)抱怨身份認證需要一定的審核成本及審核周期��,OV SSL證書在推廣之初普及進程緩慢����,因此催生出一種新的SSL證書類型。DV SSL證書簡化了身份認證流程����,僅驗證域名所有權即可頒發(fā)證書,大大降低了證書成本��、縮短了審核周期��,受到市場歡迎�����。但是����,經過簡化的DV SSL證書僅起到數(shù)據傳輸加密的作用,完全失去了SSL證書原有的身份認證功能�����。
圖二:DV SSL證書認證信息展示
存在功能缺陷的DV SSL證書,可被釣魚網站及欺詐網站利用��,給消費者營造“看起來很真實”的假象�����,欺騙用戶信任��。用戶看到瀏覽器顯示安全鎖����,便認為敏感數(shù)據(支付卡信息及其他數(shù)據)已經經過加密,安全傳輸?shù)椒掌?����,但卻不知道可能傳輸?shù)搅似墼p者或數(shù)據竊取者的服務器上����。DV SSL證書的應用推動了網絡傳輸加密的普及�����,但是對提升電子商務在線交易的信心沒有任何幫助。
圖三:使用DV SSL證書的釣魚網站�����,Chrome標記為“安全”
(2)EV SSL證書誕生��,提升在線交易信心
EV SSL證書就是為提升電子商務在線交易信心而誕生的��。國際標準組織“CA /瀏覽器論壇”推出擴展驗證型EV SSL證書及相關標準�����,在OV SSL證書的驗證基礎上�����,增加了更嚴格的身份驗證流程��,并增強了瀏覽器的身份信息展示方式��。通過瀏覽器綠色地址欄����、安全鎖及直觀展示組織機構名稱等視覺展示方式,用戶更容易識別該網站已經過嚴格的身份認證����,可以放心地進行在線交易����。
圖四:EV SSL證書的瀏覽器展示效果
嚴格的擴展身份驗證使EV SSL證書更難獲得��,釣魚欺詐者和網絡犯罪分子不會為此分享自己的真實身份信息����,也無法冒用其他企業(yè)的身份信息,因此使用EV SSL證書進行釣魚欺詐是難以實現(xiàn)的�����。根據Netcraft研究統(tǒng)計����,2014年3月至2015年6月使用HTTPS加密的網絡釣魚站點中,超過77%使用的是匿名的DV SSL證書��,但沒有使用EV SSL證書用于釣魚欺詐的案例記錄��。EV SSL證書成為電子商務企業(yè)反擊釣魚欺詐網站����、假冒網站的最佳利器。
電子商務企業(yè)SSL證書選擇建議
PCI安全標準委員會建議進行電子商務的合法企業(yè)購買OV SSL或EV SSL證書�����,提升在線交易信心�����,增加在線交易成功概率����。下表總結了各種SSL證書級別。
圖五:各種SSL證書級別
DV SSL證書:電子商務網站不推薦DV SSL證書��?�?尚判燥L險較低的情況下��,可以選擇DV SSL證書��,僅提供數(shù)據加密傳輸����,例如沒有消費者參與的內部服務器與服務器之間的通信。
OV SSL證書:建議面向公眾的��、處理敏感信息較少的網站,可以選擇OV SSL證書�����,為消費者提供一定的身份信息展示及數(shù)據傳輸加密��。
EV SSL證書:對于需要處理支付卡信息��、持卡人數(shù)據(CHD)����、個人身份信息(PII)等敏感數(shù)據的網站,推薦使用最高認證級別的EV SSL證書�����,保護在線安全����,增強在線信任。
SSL證書安全配置建議
PCI建議不管是何種證書類型�����,都應按照最高級別的安全性完成證書配置。
(1)現(xiàn)代TLS加密的最佳配置
僅使用和支持TLS 1.2以上的加密協(xié)議��,低版本加密協(xié)議已經缺乏足夠的安全性�����;
將認證和密鑰協(xié)商協(xié)議分開�����,以使用不同的加密密鑰�����,減少未經授權的密鑰使用或密鑰泄露帶來的影響�����。
按照NIST的密鑰管理建議�����,選擇正確的密鑰長度和散列函數(shù)用于數(shù)字簽名和密鑰協(xié)商����,以保證交易的完整性。
確?�?蛻舳耸褂卯斍癟LS協(xié)議版本�����,并確保服務器和客戶端協(xié)商時選擇當前TLS協(xié)議版本����。
以上做法可以確保電子商務組織對客戶數(shù)據的持續(xù)保護,避免舊的加密算法削弱時面臨的安全挑戰(zhàn)�����。
(2)利用監(jiān)控工具管理SSL證書
一些免費工具及應對更大更復雜應用環(huán)境的商業(yè)化工具或服務��,可以幫助電子商務企業(yè)更好地管理SSL證書����,具體包括:
檢查證書(通用名稱,密鑰大小/類型����,證書透明度,有效期):這些檢查確保公共名稱語法正確����,密鑰大小滿足最小長度要求��,密鑰類型有效(例如��,RSA或ECC)�����,包含證書透明度時間戳,有效期不超過允許的最大值��。
檢查證書鏈����,中間CA和根CA:這些檢查驗證證書是否具有正確的鏈,并且鏈向已知的中間根和公開信任的根�����。
檢查支持的密碼和協(xié)議以及任何漏洞:檢查驗證加密密碼和協(xié)議是不是允許的類型����。
檢查OpenSSL漏洞
檢查服務器漏洞
建議電子商務企業(yè)安排定期測試以確保TLS證書實施的質量,并在更改證書��、Web服務器、負載均衡/應用程序交付控制器�����、網絡更改及任何其他重大更改后也安排測試��。
粵公網安備 44010402000282號 粵ICP備09019378號-1
