当前位置: 首页 > 技术支持 > 知识库

https证书存在的漏洞您知道吗?

发布日期: 2019-05-28 10:39:28 阅读量: 作者: 合信SSL证书
各位大大们好,在本文章开始之前,我先简单的介绍一下https
  
  HTTPS(全称:Hyper Text Transfer Protocol over Secure SocketLayer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版
  
  工作快一年了,我也在一年的时间里逛了无数个博客与论坛,积累了许许多多的知识,同时也发现了部分网站的一些小问题,我就把他们记录了下来,最后我统计的时候发现,问题最多的地方出在https上,大部分网站,存在了大大小小的SSL协议上的漏洞。
  
  下面我就来列举一下这些漏洞:
  
  第一个也算是一个问题,但是算不上漏洞:证书名与域名不匹配,浏览器发出不安全警告。
  
  第二个就是发现很少一部分网站依旧在使用SHA1算法,但是2009年SHA1算法被谷歌成功破解,所以SHA1从此不再安全。
  
  第三就是一些网站证书链顺序校验不正确,正确的顺序应该是当前域名公钥 -> 中间公钥 -> CA 根公钥
  
  。否则可能会引起IOS与安卓的安全警告。
  
  第四也是我这个小博客最大的漏洞之一:OpenSSL心脏出血漏洞
  
  OpenSSL的代码中没有对读长度进行检查,攻击者可以利用这个缺陷,在一个心跳请求中获取到服务器进程中最大为64KB的数据。通过发出多个这样的请求,攻击这就可以无限制地获取内存数据。服务器的进程中必然存在敏感信息:例如会话票证的密钥、TLS的会话密钥以及各类密码,攻击者就可以得到这些信息。
  
  第五个漏洞是之前使用小众注册商注册了SSL证书,使用了SSL 2.0的版本,这个版本于1994年11月发布,有严重的弱点,被认为是失败的协议。但是我却没有注意到,所以导致了一些问题的发生。
  
  既然已经说到这里,那么就来列举一下我已知的不安全的SSL/TLS版本
  
  SSL 2.0 于1994年11月发布,有严重的弱点,被认为是失败的协议。
  
  SSL 3.0 于1995年12月发布,存在POODLE攻击漏洞。
  
  TLS 1.0 于1999年1月发布,存在BEAST攻击(TLS1.0及更早版本的可预见的初始化向量漏洞
上一篇: ssl证书的工作原理是什么?
下一篇: ssl证书,收费和免费有什么区别?
在线咨询
点击在线咨询
QQ客服
137013177
电话咨询
免费热线:153-7531-4637
关注微信
返回顶部