URLMon系统提供恶意链接检测能力,地址:https://urlscan.watcherlab.com/
系统提供API接口,可通过接口提交URL进行自动化检测。
本文主要介绍专项能力之HTTPs安全配置的检测。URLMon系统主要从以下七个方面进行HTTPs的安全配置检测:(1)HTTP/2是否支持、(2)是否支持TLS1.3、(3)HSTS是否指定includeSubDomains、(4)HSTS 是否指定 Preload List、(5)HSTS功能是否开启、(6)HTTP公钥固定是否开启、(7)是否仍然采用TLS弱加密算法协议等。
现网的很多web系统,考虑到兼容性的问题有些安全配置未开启,如下可以看到,baidu的主站仍存在以下需要加强的配置项目(不支持TLS1.3、HTTP公钥固定未开启、HTTP/2不支持、HSTS 未指定includeSubDomains、HSTS 未指定 Preload List)等。在实际的过程中,需要考虑兼容性,可以根据实际情况开启。
1)HTTP/2是否支持
HTTP/2.0协议对TLS的配置部署有了更严格的限制,同时还禁止使用了很多比较老旧的加密套件。从安全的角度建议支持HTTP/2 协议。
2)是否支持TLS1.3
TLS1.3在安全性、性能上比TLS1.2都有很大提升。建议各网站在早期方便时增加对TLS 1.3的支持,四大主流浏览器已经不再支持TLS 1.0 和 1.1。
3)HSTS 未指定includeSubDomains
指定includeSubDomains,对于当前域名及其子域名的后续通信应该强制性的只使用HTTPS,直到超过有效期为止。
4)HSTS 未指定 Preload List
HSTS必须要在浏览器访问网站一次以后才会生效,如果希望提前生效,需要将域名申请 HSTS Preloading List。目前这个 List 由 Google Chrome 维护,多个浏览器都在使用。
5)HSTS功能未开启
HSTS功能通过强制客户端(浏览器等)使用HTTPS与服务器创建链接,帮助网站进行全局加密,防止中间人攻击。
6)HTTP公钥固定未开启
采用公钥固定时,网站会提供已授权公钥的哈希列表,指示客户端在后续通讯中只接受列表上的公钥,用于预防CA遭受入侵或其他会造成CA签发未授权证书的情况。
7)采用TLS弱加密算法协议
TLS 1.0和1.1协议均为弱加密算法,需要启用1.2 1.3的支持,并禁用对TLS 1.0和1.1以及SSL的支持。
我们会逐步推出URLMon系统的各种实践场景,欢迎您关注!
叠加赋能、共建生态,打造精细化高效率分析引擎!
道长且阻、行则将至,做数字经济时代安全守望者!
watcherlab
做数字经济时代的安全守望者
长按扫码可关注
原文始发于微信公众号(守望者实验室):URLMon应用实践(6):知易行难,HTTPs的安全配置检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论