通过web服务器与客户端之间的相互认证并加密信息交互,是网络安全保护的一项基本功能。据最新数据显示,截止2017年上半年,已有超过一多半的网络流量获得了加密保护。
尽管如此,HTTPS安全性的等级仍参差不齐。流量加密强度是否足够?企业的HTTPS配置是否足够缜密?单凭SSL部署能够确保数据安全?种种有待解决的问题催生出大量网络安全诊断工具,对网络安全性进行评估定级与配置建议。部分工具可以提供基础信息并对增强HTTPS配置提供建议。另外一些则具有幕后优化功能,为企业的HTTPS配置提供更为深入的分析,包括SSL漏洞状态报告等。其中,SSL Labs by Qalys以其综合性和深入性脱颖而出,成为SSL部署行业标准的工具。
SSL Labs如何为web服务器进行安全性测试和评级?
SSL Labs根据其SSL服务器评级准则对企业用户的网站进行评级,从最高级A到最低级F,安全性依次降低。SSL Labs评级主要关注证书和配置两方面,在验证其有效性与受信性的同时,检查服务器配置,并将其分为三类:协议支持、密钥交换支持和加密算法支持。
协议支持:检查可用的SSL协议版本,即:下列五个版本中都支持哪些:SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1以及TLS 1.2;
密钥交换支持:检查密钥交换参数优势 ;
加密算法支持:检查所支持的加密算法套组,同时按优先服务器顺序从强到弱地列出加密算法。
SSL Labs将以上各分类进行评分,综合得出总分,并将其转换为对应的等级,最后检查无法通过数值评估来表现的其它服务器配置项,确定其是否有其它特征,如是否支持TLS_FALLBACK_SCSV、OCSP stapling或HSTS。根据补充检查调整确定最终评分等级。在最后的调整过程中,即使评分不降,也不可能拿到A+的分数。分数与等级的对应关系如下所示:
SSL Labs评分与等级转换表
SSL Labs何以成为网络安全性的权威评级标准?
SSL Labs诞生之初,包括Imperva安全研究院及其很多用户在内的安全研究机构都曾置疑SSL Labs的测试方法与有效性,但时至今日,SSL Labs已成为一种标配方案。这种形势上的转变,根本原因在于SSL Labs不仅提供SSL/TLS部署的安全性评分,而且包括了针对安全违规功能的检查。企业用户逐渐意识到,其网站等级以及SSL/TLS部署已为众人皆知。同时,越来越多的用户开始使用SSL Labs作为了解各自网站安全性的指导工具。如果评级差,则可能对网站信誉造成负面影响,如被潜在用户认为网站不安全,从而带来间接的财务损失。
例如,如果顾客在某电商网站购物,发现该网站的网站安全评级被SSL Labs评为F级,那么顾客对于在此网站上的购物安全就难以放心,可能斟酌再三而影响下单决策。简言之,在SSL Labs评价系统中拿到高分,不仅代表了网站安全性有了最强的保障,而且能够带来更高的客户信任度和更大的潜在收益。Imperva SecureSphere Web Application Firewall(WAF)正是可以通过简单而行之有效的部署方式,帮助企业获得SSL Labs评分A+,同时超越SSL部署的局限,在更高的程度上保障网络安全。
企业用户害怕拿到SSL Labs F评级
如何通过部署WAF获得SSL Labs A+评级?
只有部署WAF,才能帮助企业尽快实现SSL Labs A+评级。而部署WAF的步骤非常简单,不需要更改后台服务器,同时借助SSL配置管理工具,使SSL配置也得到了极大的简化。
以SecureSphere WAF新发布的13.0版产品为例。该产品配有默认配置模板,方便用户轻松配置,可直接帮助用户取得完美的SSL Labs A+评级。用户只需要部署反向代理模式即可,按照下面两个简单的步骤即可完成:
1) 查看缺省SSL设置
在“Main”工作页面下,选择Setup > Global Object。然后在Scope Selection条下,选择SSL Settings并选择“SSL Labs A+ RP Server Side SSL Settings”模板,然后查看配置,并确保可接受此类设置。
在Imperva SecureSphere WAF中,设置自定义SSL设置或使用缺省设置,实现SSL Labs A+评级。
2) 将设置应用到企业的各应用中
在Main工作页面下,选择Setup > Sites。在Sites Tree栏中,选择需要保护的各项服务。在Reverse Proxy标签下,选择反向代理规则(KRP 或 TRP)下的“SSL Labs A+ RP Server Side SSL Settings”,然后点击Save按钮。
默认实现A+级安全部署的前提,是需要安装有效的SSL证书及所有中级CA证书,并在Web服务器或SecureSphere上启用HSTS。
SecureSphere WAF 环境下的SSL Labs A+级部署
只要做到以上步骤,企业即可在Imperva的帮助下获得A+安全评级。
另外,SSL Labs根据技术发展趋势定期调整其评级标准与方法,而SecureSphere WAF也会持续监控与追踪SSL Labs的各类变化,随时调整与更新Imperva的产品目标,保证A+安全评级。
不止于A+级的安全保障
所有的安全专家都承认,仅仅依赖作为网络安全保护一个方面SSL部署是远远不够的。SSL/TLS仅用于确保安全连接,并不能保护应用免受任何类型的攻击。现在的攻击多种多样,如SQL injections和cross-site scripting等技术攻击或site scraping和account takeover等商业逻辑攻击。面对攻击方式的多样性,部署SSL之外,还需要更灵活、更有层次的保障。
部署Imperva SecureSphere Web Application Firewall在达成SSL Labs A+级防护的同时,还能解决多样化攻击的问题,能够保护企业用户部署在云或预置方案中Web应用的安全,同时还帮助防止因企业用户违规而造成的连带损失、成本或品牌损害,为企业提供不止于A+级的网络安全保护。