SSL的安全漏洞及解决方案

admin管理员组

文章数量:1538715

2024年6月3日发(作者：)

SSL的安全漏洞及解决方案

· cool007

如果你在互联网上访问某些网站时在浏览器窗口的下方有一个锁的小图标，就表示它表示该

网页被SSL保护着。但用SSL防护的网站真的能够防范黑客吗？现在国内有很多人对SSL

存在这么一个认识误区：SSL很安全，受到SSL防护网页服务器的资料就一定是万无一失

的，这也导致这样一个局面，只要有着SSL防护的网站服务器很少接受审查以及监测。其

实不然，对于安全要求不甚高的交易或认证，SSL还是一个相当不错的安全机制，然而若

应用在特殊要求方面，它还存在有这样那样的问题。在下面的文中我将为大家简单介绍SSL

存在的安全漏洞及解决方案，希望本文对你有所帮助。

一般人认为SSL是保护主机或者只是一个应用程序，这是一个误解，SSL不是设计用

来保护操作系统的。SSL是Secure Sockets Layer通讯协议的简称，它是被设计用来保护

传输中的资料，它的任务是把在网页以及服务器之间的数据传输加密起来。这个加密

（encryption）的措施能够防止资料窃取者直接看到传输中的资料，像是密码或者信用卡号

码等等。在这里谈到SSL，你就必须了解数字证书（Digital Certificates）的概念。

数字证书是一种能在完全开放系统中准确标识某些主体的机制。一个数字证书包含的信

息必须能鉴定用户身份，确保用户就是其所持有证书中声明的用户。除了唯一的标识信息外，

数字证书还包含了证书所有者的公共密钥。数字证书的使用允许SSL提供认证功能－－保

证用户所请求连接的服务器身份正确无误。在信用卡号或PIN号码等机密信息被发送出去

前让用户确切知道通讯的另一端的身份是毫无疑问的重要的。很明显的，SSL技术提供了

有效的认证。然而大多数用户并未能正确意识到通过SSL进行安全连接的必需性。除非越

来越多的用户了解SSL和安全站点的基本知识，否则SSL仍不足以成为保护用户网络连接

的必需技术。除非用户能够充分意识到访问站点时应该注意安全连接标识，否则现有的安全

技术仍不能称为真正有效。

目前几乎所有处理具有敏感度的资料，财务资料或者要求身分认证的网站都会使用SSL

加密技术（当你看到https在你的网页浏览器上的URL出现时，你就是正在使用具有SSL

保护的网页服务器。）。在这里我把SSL比喻成是一种在浏览器跟网络服务器之间“受密码

保护的导管”（cryptographic pipe），也就是我们常说的安全通道。这个安全通道把使用者

以及网站之间往返的资料加密起来。但是SSL并不会消除或者减弱网站所将受到的威胁性。

在SSL这个安全通道的背后，一般没有受到SSL防护的网站一样具备了相同的网页服务器

程序，同样的网页应用程序，CGI的script以及后端数据库。目前普遍存在这么一个错误的

认识：很多系统管理者却认为，受到SSL防护的网页服务器自动就变得安全了。其实不然，

事实上，受到SSL防护的网页服务器同样还是会受到与一般其它网站服务器遭受攻击的威

胁，受到SSL防护的网页服务器不一定是万无一失的。

一、认识SSL

二、SSL的安全漏洞

虽然一个网站可能使用了SSL安全技术，但这并不是说在该网站中正在输入和以后输

入的数据也是安全的。所有人都应该意识到SSL提供的仅仅是电子商务整体安全中的一小

部份解决方案。SSL在网站上的使用可能会造成管理员对其站点安全性的某些错觉。使用

了SSL的网站所可能受到的攻击和其它服务器并无任何区别，同样应该留意各方面的安全

性。简言之，加密和数字证书，SSL的主要组成，从来都无法保护服务器－－它们仅仅可

以保护该服务器所收发的数据。SSL常见安全问题下面三种：

类似Verisign之类的公共CA机构并不总是可靠的，系统管理员经常犯的错误是过于信

任Verisign等的公共CA机构。例如，如果Verisign发放一个证书说我是“某某某”，系统

管理员很可能就会相信“我是某某某”。但是，对于用户的证书，公共CA机构可能不象对

网站数字证书那样重视和关心其准确性。例如，Verisign发放了一个“keyman"组织的证书，

而我是其中一员“JACK”。当一个网站要求认证用户身份时，我们提交了“JACK”的证书。

你可能会对其返回的结果大吃一惊的。更为严重的是，由于微软公司的IIS服务器提供了“客

户端证书映射”（Client Certificate Mapping）功能，用于将客户端提交证书中的名字映射到

NT系统的用户帐号，在这种情况下我们就能够获得该主机的系统管理员特权！

如果黑客不能利用上面的非法的证书突破服务器，他们可以尝试暴力攻击（brute-force

attack）。虽然暴力攻击证书比暴力攻击口令更为困难，但仍然是一种攻击方法。要暴力攻

击客户端认证，黑客编辑一个可能的用户名字列表，然后为每一个名字向CA机构申请证书。

每一个证书都用于尝试获取访问权限。用户名的选择越好，其中一个证书被认可的可能性就

越高。暴力攻击证书的方便之处在于它仅需要猜测一个有效的用户名，而不是猜测用户名和

口令。

1、攻击证书

2、窃取证书

除上面的方法外，黑客还可能窃取有效的证书及相应的私有密钥。最简单的方法是利用

特洛伊木马。这种攻击几乎可使客户端证书形同虚设。它攻击的是证书的一个根本性弱点：

私有密钥－－整个安全系统的核心－－经常保存在不安全的地方。对付这些攻击的唯一有效

方法或许是将证书保存到智能卡或令牌之类的设备中。

系统管理员没办法使用现有的安全漏洞扫描（vulnerability scanners）或网络入侵侦测

系统（intrusion detection systems，IDS），来审查或监控网络上的SSL交易。网络入侵侦

测系统是通过监测网络传输来找寻没有经过认证的活动。任何符合已知的攻击模式或者并未

经过政策上授权的网络活动都被标起来以供系统管理者检视。而要让IDS能够发生作用，

IDS必须能够检视所有的网络流量信息，但是SSL的加密技术却使得通过http 传输的信息

无法让IDS辨认。再者，虽然我们可以用最新的安全扫描软件审查一般的网页服务器来寻

找已知的安全盲点，这种扫描软件并不会检查经过SSL保护的服务器。受到SSL保护的网

3、安全盲点

本文标签： 证书网站服务器用户