電子商務領域SSL證書最佳實踐-2017
互諾科技:2017-04-08 14:07 閱讀數:
標簽:
國際支付卡行業協會PCI(Payment Card Industry )安全標準委員會在2017年1月,為PCI數據安全標準(PCI DSS)添加了補充方案,詳述安全電子商務最佳實踐,推薦電子商務企業部署OV SSL證書和EV SSL證書,通過更高級別的認證建立在線信任,提升消費者在線交易的信心,其中詳細的安全部署建議值得電子商務企業參考。
SSL證書的重要性
電子商務過程涉及用戶數據的存儲和傳輸、用戶瀏覽行為的記錄、付款操作及持卡人信息安全等諸多方面。一些常見的電子商務實現包括:付款處理應用程序,應用程序編程接口(API),電子數據交換(EDI)的網關,內聯框架(IFrames)或由第三方托管的付款頁面等等。PCI數據安全標準要求電子商務企業需要通過各類技術在各個環節,確保用戶隱私數據及支付信息的安全。
SSL證書在電子商務網站、API及網關傳輸等方面的應用都起到非常重要作用。網站上安裝SSL證書,對瀏覽器傳輸到網站服務器的數據進行加密,確保數據不會被竊聽者攔截,認證網站服務器的真實身份,讓用戶確信敏感信息(支付卡信息或其他數據等)正發送到正確的服務器,而不是欺詐者或數據竊取者的服務器。
不是所有SSL證書都具備同等信任
雖然所有類型的SSL證書都符合PCI數據安全標準對于公共網絡傳輸加密的要求,但是并非所有SSL證書都具備同等信任水平。證書頒發機構(CA)提供三種不同的服務器驗證方式,對應三種信任級別的SSL證書:域名驗證型DV SSL證書、企業驗證型OV SSL證書和擴展驗證型EV SSL證書。其中只有OV SSL證書和EV SSL證書才能真正幫助電子商務行業實現安全與可信,這也是PCI安全標準委員會推薦這兩類證書的主要原因。
(1)DV SSL證書的缺陷
SSL證書設計之初被賦予兩個重要使命,一方面是實現數據加密傳輸,保護數據安全,另一方面是進行服務器身份認證,確保網站身份真實可信。OV SSL證書是早期唯一類型的SSL證書,CA機構必須驗證域名所有權、企業真實身份等詳細信息后,才會給申請企業頒發證書。
圖一:OV SSL證書認證信息展示
由于一些企業抱怨身份認證需要一定的審核成本及審核周期,OV SSL證書在推廣之初普及進程緩慢,因此催生出一種新的SSL證書類型。DV SSL證書簡化了身份認證流程,僅驗證域名所有權即可頒發證書,大大降低了證書成本、縮短了審核周期,受到市場歡迎。但是,經過簡化的DV SSL證書僅起到數據傳輸加密的作用,完全失去了SSL證書原有的身份認證功能。
圖二:DV SSL證書認證信息展示
存在功能缺陷的DV SSL證書,可被釣魚網站及欺詐網站利用,給消費者營造“看起來很真實”的假象,欺騙用戶信任。用戶看到瀏覽器顯示安全鎖,便認為敏感數據(支付卡信息及其他數據)已經經過加密,安全傳輸到服務器,但卻不知道可能傳輸到了欺詐者或數據竊取者的服務器上。DV SSL證書的應用推動了網絡傳輸加密的普及,但是對提升電子商務在線交易的信心沒有任何幫助。
圖三:使用DV SSL證書的釣魚網站,Chrome標記為“安全”
(2)EV SSL證書誕生,提升在線交易信心
EV SSL證書就是為提升電子商務在線交易信心而誕生的。國際標準組織“CA /瀏覽器論壇”推出擴展驗證型EV SSL證書及相關標準,在OV SSL證書的驗證基礎上,增加了更嚴格的身份驗證流程,并增強了瀏覽器的身份信息展示方式。通過瀏覽器綠色地址欄、安全鎖及直觀展示組織機構名稱等視覺展示方式,用戶更容易識別該網站已經過嚴格的身份認證,可以放心地進行在線交易。
圖四:EV SSL證書的瀏覽器展示效果
嚴格的擴展身份驗證使EV SSL證書更難獲得,釣魚欺詐者和網絡犯罪分子不會為此分享自己的真實身份信息,也無法冒用其他企業的身份信息,因此使用EV SSL證書進行釣魚欺詐是難以實現的。根據Netcraft研究統計,2014年3月至2015年6月使用HTTPS加密的網絡釣魚站點中,超過77%使用的是匿名的DV SSL證書,但沒有使用EV SSL證書用于釣魚欺詐的案例記錄。EV SSL證書成為電子商務企業反擊釣魚欺詐網站、假冒網站的最佳利器。
電子商務企業SSL證書選擇建議
PCI安全標準委員會建議進行電子商務的合法企業購買OV SSL或EV SSL證書,提升在線交易信心,增加在線交易成功概率。下表總結了各種SSL證書級別。
圖五:各種SSL證書級別
DV SSL證書:電子商務網站不推薦DV SSL證書。可信性風險較低的情況下,可以選擇DV SSL證書,僅提供數據加密傳輸,例如沒有消費者參與的內部服務器與服務器之間的通信。
OV SSL證書:建議面向公眾的、處理敏感信息較少的網站,可以選擇OV SSL證書,為消費者提供一定的身份信息展示及數據傳輸加密。
EV SSL證書:對于需要處理支付卡信息、持卡人數據(CHD)、個人身份信息(PII)等敏感數據的網站,推薦使用最高認證級別的EV SSL證書,保護在線安全,增強在線信任。
SSL證書安全配置建議
PCI建議不管是何種證書類型,都應按照最高級別的安全性完成證書配置。
(1)現代TLS加密的最佳配置
僅使用和支持TLS 1.2以上的加密協議,低版本加密協議已經缺乏足夠的安全性;
將認證和密鑰協商協議分開,以使用不同的加密密鑰,減少未經授權的密鑰使用或密鑰泄露帶來的影響。
按照NIST的密鑰管理建議,選擇正確的密鑰長度和散列函數用于數字簽名和密鑰協商,以保證交易的完整性。
確保客戶端使用當前TLS協議版本,并確保服務器和客戶端協商時選擇當前TLS協議版本。
以上做法可以確保電子商務組織對客戶數據的持續保護,避免舊的加密算法削弱時面臨的安全挑戰。
(2)利用監控工具管理SSL證書
一些免費工具及應對更大更復雜應用環境的商業化工具或服務,可以幫助電子商務企業更好地管理SSL證書,具體包括:
檢查證書(通用名稱,密鑰大小/類型,證書透明度,有效期):這些檢查確保公共名稱語法正確,密鑰大小滿足最小長度要求,密鑰類型有效(例如,RSA或ECC),包含證書透明度時間戳,有效期不超過允許的最大值。
檢查證書鏈,中間CA和根CA:這些檢查驗證證書是否具有正確的鏈,并且鏈向已知的中間根和公開信任的根。
檢查支持的密碼和協議以及任何漏洞:檢查驗證加密密碼和協議是不是允許的類型。
檢查OpenSSL漏洞
檢查服務器漏洞
建議電子商務企業安排定期測試以確保TLS證書實施的質量,并在更改證書、Web服務器、負載均衡/應用程序交付控制器、網絡更改及任何其他重大更改后也安排測試。
粵公網安備 44010402000282號 粵ICP備09019378號-1
