電子商務(wù)領(lǐng)域SSL證書最佳實踐-2017
互諾科技:2017-04-08 14:07 閱讀數(shù):
標(biāo)簽:
國際支付卡行業(yè)協(xié)會PCI(Payment Card Industry )安全標(biāo)準(zhǔn)委員會在2017年1月,為PCI數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)添加了補充方案,詳述安全電子商務(wù)最佳實踐,推薦電子商務(wù)企業(yè)部署OV SSL證書和EV SSL證書,通過更高級別的認證建立在線信任,提升消費者在線交易的信心,其中詳細的安全部署建議值得電子商務(wù)企業(yè)參考。
SSL證書的重要性
電子商務(wù)過程涉及用戶數(shù)據(jù)的存儲和傳輸、用戶瀏覽行為的記錄、付款操作及持卡人信息安全等諸多方面。一些常見的電子商務(wù)實現(xiàn)包括:付款處理應(yīng)用程序,應(yīng)用程序編程接口(API),電子數(shù)據(jù)交換(EDI)的網(wǎng)關(guān),內(nèi)聯(lián)框架(IFrames)或由第三方托管的付款頁面等等。PCI數(shù)據(jù)安全標(biāo)準(zhǔn)要求電子商務(wù)企業(yè)需要通過各類技術(shù)在各個環(huán)節(jié),確保用戶隱私數(shù)據(jù)及支付信息的安全。
SSL證書在電子商務(wù)網(wǎng)站、API及網(wǎng)關(guān)傳輸?shù)确矫娴膽?yīng)用都起到非常重要作用。網(wǎng)站上安裝SSL證書,對瀏覽器傳輸?shù)骄W(wǎng)站服務(wù)器的數(shù)據(jù)進行加密,確保數(shù)據(jù)不會被竊聽者攔截,認證網(wǎng)站服務(wù)器的真實身份,讓用戶確信敏感信息(支付卡信息或其他數(shù)據(jù)等)正發(fā)送到正確的服務(wù)器,而不是欺詐者或數(shù)據(jù)竊取者的服務(wù)器。
不是所有SSL證書都具備同等信任
雖然所有類型的SSL證書都符合PCI數(shù)據(jù)安全標(biāo)準(zhǔn)對于公共網(wǎng)絡(luò)傳輸加密的要求,但是并非所有SSL證書都具備同等信任水平。證書頒發(fā)機構(gòu)(CA)提供三種不同的服務(wù)器驗證方式,對應(yīng)三種信任級別的SSL證書:域名驗證型DV SSL證書、企業(yè)驗證型OV SSL證書和擴展驗證型EV SSL證書。其中只有OV SSL證書和EV SSL證書才能真正幫助電子商務(wù)行業(yè)實現(xiàn)安全與可信,這也是PCI安全標(biāo)準(zhǔn)委員會推薦這兩類證書的主要原因。
(1)DV SSL證書的缺陷
SSL證書設(shè)計之初被賦予兩個重要使命,一方面是實現(xiàn)數(shù)據(jù)加密傳輸,保護數(shù)據(jù)安全,另一方面是進行服務(wù)器身份認證,確保網(wǎng)站身份真實可信。OV SSL證書是早期唯一類型的SSL證書,CA機構(gòu)必須驗證域名所有權(quán)、企業(yè)真實身份等詳細信息后,才會給申請企業(yè)頒發(fā)證書。
圖一:OV SSL證書認證信息展示
由于一些企業(yè)抱怨身份認證需要一定的審核成本及審核周期,OV SSL證書在推廣之初普及進程緩慢,因此催生出一種新的SSL證書類型。DV SSL證書簡化了身份認證流程,僅驗證域名所有權(quán)即可頒發(fā)證書,大大降低了證書成本、縮短了審核周期,受到市場歡迎。但是,經(jīng)過簡化的DV SSL證書僅起到數(shù)據(jù)傳輸加密的作用,完全失去了SSL證書原有的身份認證功能。
圖二:DV SSL證書認證信息展示
存在功能缺陷的DV SSL證書,可被釣魚網(wǎng)站及欺詐網(wǎng)站利用,給消費者營造“看起來很真實”的假象,欺騙用戶信任。用戶看到瀏覽器顯示安全鎖,便認為敏感數(shù)據(jù)(支付卡信息及其他數(shù)據(jù))已經(jīng)經(jīng)過加密,安全傳輸?shù)椒?wù)器,但卻不知道可能傳輸?shù)搅似墼p者或數(shù)據(jù)竊取者的服務(wù)器上。DV SSL證書的應(yīng)用推動了網(wǎng)絡(luò)傳輸加密的普及,但是對提升電子商務(wù)在線交易的信心沒有任何幫助。
圖三:使用DV SSL證書的釣魚網(wǎng)站,Chrome標(biāo)記為“安全”
(2)EV SSL證書誕生,提升在線交易信心
EV SSL證書就是為提升電子商務(wù)在線交易信心而誕生的。國際標(biāo)準(zhǔn)組織“CA /瀏覽器論壇”推出擴展驗證型EV SSL證書及相關(guān)標(biāo)準(zhǔn),在OV SSL證書的驗證基礎(chǔ)上,增加了更嚴(yán)格的身份驗證流程,并增強了瀏覽器的身份信息展示方式。通過瀏覽器綠色地址欄、安全鎖及直觀展示組織機構(gòu)名稱等視覺展示方式,用戶更容易識別該網(wǎng)站已經(jīng)過嚴(yán)格的身份認證,可以放心地進行在線交易。
圖四:EV SSL證書的瀏覽器展示效果
嚴(yán)格的擴展身份驗證使EV SSL證書更難獲得,釣魚欺詐者和網(wǎng)絡(luò)犯罪分子不會為此分享自己的真實身份信息,也無法冒用其他企業(yè)的身份信息,因此使用EV SSL證書進行釣魚欺詐是難以實現(xiàn)的。根據(jù)Netcraft研究統(tǒng)計,2014年3月至2015年6月使用HTTPS加密的網(wǎng)絡(luò)釣魚站點中,超過77%使用的是匿名的DV SSL證書,但沒有使用EV SSL證書用于釣魚欺詐的案例記錄。EV SSL證書成為電子商務(wù)企業(yè)反擊釣魚欺詐網(wǎng)站、假冒網(wǎng)站的最佳利器。
電子商務(wù)企業(yè)SSL證書選擇建議
PCI安全標(biāo)準(zhǔn)委員會建議進行電子商務(wù)的合法企業(yè)購買OV SSL或EV SSL證書,提升在線交易信心,增加在線交易成功概率。下表總結(jié)了各種SSL證書級別。
圖五:各種SSL證書級別
DV SSL證書:電子商務(wù)網(wǎng)站不推薦DV SSL證書。可信性風(fēng)險較低的情況下,可以選擇DV SSL證書,僅提供數(shù)據(jù)加密傳輸,例如沒有消費者參與的內(nèi)部服務(wù)器與服務(wù)器之間的通信。
OV SSL證書:建議面向公眾的、處理敏感信息較少的網(wǎng)站,可以選擇OV SSL證書,為消費者提供一定的身份信息展示及數(shù)據(jù)傳輸加密。
EV SSL證書:對于需要處理支付卡信息、持卡人數(shù)據(jù)(CHD)、個人身份信息(PII)等敏感數(shù)據(jù)的網(wǎng)站,推薦使用最高認證級別的EV SSL證書,保護在線安全,增強在線信任。
SSL證書安全配置建議
PCI建議不管是何種證書類型,都應(yīng)按照最高級別的安全性完成證書配置。
(1)現(xiàn)代TLS加密的最佳配置
僅使用和支持TLS 1.2以上的加密協(xié)議,低版本加密協(xié)議已經(jīng)缺乏足夠的安全性;
將認證和密鑰協(xié)商協(xié)議分開,以使用不同的加密密鑰,減少未經(jīng)授權(quán)的密鑰使用或密鑰泄露帶來的影響。
按照NIST的密鑰管理建議,選擇正確的密鑰長度和散列函數(shù)用于數(shù)字簽名和密鑰協(xié)商,以保證交易的完整性。
確保客戶端使用當(dāng)前TLS協(xié)議版本,并確保服務(wù)器和客戶端協(xié)商時選擇當(dāng)前TLS協(xié)議版本。
以上做法可以確保電子商務(wù)組織對客戶數(shù)據(jù)的持續(xù)保護,避免舊的加密算法削弱時面臨的安全挑戰(zhàn)。
(2)利用監(jiān)控工具管理SSL證書
一些免費工具及應(yīng)對更大更復(fù)雜應(yīng)用環(huán)境的商業(yè)化工具或服務(wù),可以幫助電子商務(wù)企業(yè)更好地管理SSL證書,具體包括:
檢查證書(通用名稱,密鑰大小/類型,證書透明度,有效期):這些檢查確保公共名稱語法正確,密鑰大小滿足最小長度要求,密鑰類型有效(例如,RSA或ECC),包含證書透明度時間戳,有效期不超過允許的最大值。
檢查證書鏈,中間CA和根CA:這些檢查驗證證書是否具有正確的鏈,并且鏈向已知的中間根和公開信任的根。
檢查支持的密碼和協(xié)議以及任何漏洞:檢查驗證加密密碼和協(xié)議是不是允許的類型。
檢查OpenSSL漏洞
檢查服務(wù)器漏洞
建議電子商務(wù)企業(yè)安排定期測試以確保TLS證書實施的質(zhì)量,并在更改證書、Web服務(wù)器、負載均衡/應(yīng)用程序交付控制器、網(wǎng)絡(luò)更改及任何其他重大更改后也安排測試。
粵公網(wǎng)安備 44010402000282號 粵ICP備09019378號-1
