来自 数据 2021-07-18 19:12 的文章

服务器防护_上海高防服务器_如何解决

服务器防护_上海高防服务器_如何解决

基于PKI的解决方案的使用继续增长–越来越多的站点转向HTTPS,企业正在利用数字证书作为用户和机器的身份验证因素,S/MIME正在证明其作为电子邮件加密选项和验证电子邮件来源以对抗网络钓鱼的一种方法的价值,但如果不实施适当的密钥管理,这些应用程序的加密和身份验证可能会被完全破坏。无论是自签名还是私钥,每次都必须生成一对私钥。最佳实践表明,您的私钥应该是安全的,而且…是私有的!如果有人掌握了它,根据证书类型,腾讯cdn能防御多大ddos,他们可以在地址栏中使用您组织的证书创建仿冒网站,通过冒充您向公司网络进行身份验证,以您的名义签署应用程序或文档,或阅读加密电子邮件。在许多情况下,您的私钥是您员工的身份(因此也是您组织身份的扩展),保护它们等同于在使用生物识别凭证时保护您的指纹。你不允许黑客拿到你的指纹,为什么要让他们拥有你的私钥?我们将讨论您的私密密钥保护选项。正如您将看到的,这些可能会略有不同,这取决于证书的类型和您将要使用它的用途(例如,SSL/TLS证书的最佳实践与最终用户证书的最佳实践不同)操作系统和浏览器证书/密钥存储示例:Windows证书存储、Mac OS密钥链一些操作系统和浏览器提供证书或密钥存储。这些是基于软件的数据库,它们将公钥/私钥对作为证书的一部分存储在计算机上。这种类型的密钥存储非常流行,因为许多应用程序都知道自动查找,而不是每次手动查找证书文件,因此它是一个相当用户友好的选项此选项的另一个优点是它非常易于自定义–您可以启用/禁用私钥导出功能,启用强私钥保护(每次使用证书时都提示输入密码),如果您的私钥可导出,则可以创建备份。另外,对于Windows用户,通过启用配置文件漫游,您的证书将绑定到您的配置文件,并且在您使用该配置文件登录到另一台计算机时可以使用。如果您选择使用此路径来存储密钥,则应注意以下注意事项。首先,即使您将私钥标记为不可导出,服务器防御ddos,也有一些实用程序可以绕过此保护(即不可导出性不是100%保证)。另外,如果有人访问了你的Windows帐户,而你没有启用强私钥保护(使用证书不需要密码),他们可以使用你的证书。最后,如果您的私钥被标记为可导出,那么使用您的计算机的人就可以导出它。即使您启用了私钥保护,他们也不必输入密码来导出。最后要注意的是Chrome和IE都使用Windows证书存储,而Firefox使用自己的证书存储(由Mozilla提供)。这意味着,如果您导入到Windows应用商店,Chrome和IE将自动找到您的证书,但Firefox不会。常用于:数字签名应用程序(例如Adobe Acrobat、Microsoft Outlook和Office将查找Windows[用户]证书存储)。Microsoft IIS(Windows server)还查找Windows[machine]证书存储区中的SSL证书客户机身份验证(用户或计算机),取决于它的设置方式,最常见的情况是Windows]证书存储。Windows代码签名(签名应用程序或驱动程序)。.pfx和.jks文件(密钥库)PKCS#12(.pfx或.p12)和.jks*(由Java keytool创建)是包含公共/私有密钥对的文件。与本地存储的操作系统和浏览器密钥库不同,这些文件几乎可以存储在任何地方,包括远程服务器,并且始终受密码保护(这意味着,任何时候您想使用私钥,都必须输入密码)。另一个吸引人的地方是,由于这些文件最终只是文件,如果您有多个人需要使用证书,则可以轻松地分发副本。如果决定将文件存储在远程服务器上,则应特别注意限制对它的访问。如果有人能够获得访问权限,他们就可以使用您的证书。同样,您还应该注意这些文件提供的复制和分发的容易程度。虽然这是一个极大的便利,但也意味着如果有人拿到了你的密钥库,百度云cdn自定义规则防御cc,那么制作和窃取一个副本并不困难。仍然需要私钥密码才能有效地使用复制的文件。这也是使用15个以上字符(包含混合大小写字母、数字和特殊字符)的强密码的另一个原因。使用此存储选项需要考虑的另一件事是,在文件的存放位置以及是否正确存储方面,它将许多责任交给最终用户。如果您不能使用加密硬件或Windows密钥存储库(如上所述),但仍希望增强安全性(而不仅仅是将密钥库文件放在计算机上),则可以将这些文件存储在保存在安全位置的可移动拇指驱动器上。当然,方便是与此相对应的-如果您进行了大量的签名,您可能希望将文件保存在本地以便于访问。常用于:Windows或Java代码签名。FDA ESG和IRS IDE都使用.pfx与政府部门进行安全通信。一些Web服务器(例如ApacheTomcat或Jboss)*注意:看起来Java正在计划从JKS过渡到PKCS#12作为默认的密钥库类型,但是还没有宣布发布日期。加密令牌和智能卡如上所述,将私钥存储在硬件上可以提高安全性。然而,使用加密令牌或智能卡与标准闪存或拇指驱动器有很大区别。对于加密硬件,密钥是在硬件本身上生成的,不可导出。这意味着私钥永远不会离开设备,这使得某人更难访问和妥协。注意:如果您想利用加密硬件的额外安全性来处理已经生成的私钥(即不是在令牌本身上生成的),您可以导入一个.pfx文件,然后删除原始的.pfx。每次要使用证书时,使用加密令牌也会提示输入密码。这意味着即使有人得到了你的令牌,他们仍然需要你的密码才能使用它。将密钥存储在令牌上意味着您还可以跨多台计算机安全地使用同一证书,而不必制作多个副本,也不必经历导出/导入过程。加密硬件还可以帮助满足FIPS合规性,这是某些行业和政府法规所要求的。当然,如果你决定走这条路,还有一些其他的考虑要记在心上……一提到硬件你就退缩了吗?除了管理令牌之外,您还应该知道,由于每次使用证书时都需要密码,所以此选项可能不适用于自动生成。也没有办法备份证书,因为私钥不可导出(这是额外安全性的缺点)。最后,在一些边缘情况下,这种存储选项可能并不理想,包括不支持令牌或智能卡的专用设备,以及员工无法物理访问计算机,云cdn防御cc,而是使用远程终端的情况。常用于:一般来说,上面提到的操作系统/浏览器密钥库(文档签名、代码签名、客户端身份验证、Windows IIS)的所有用例都受加密令牌或智能卡的支持—只要加密令牌上有一个驱动程序可以连接到您的OS/browser证书存储,它就可以起到相同的作用。但是,这可能并不总是实际可行的(例如,web服务器、代码签名的自动生成过程,阿里云高防cdn,每次应用签名时都需要密码)。合规性是使用加密令牌的主要原因之一。根据CA/Browser Forum指南,需要进行扩展验证(EV)代码签名。推荐用于标准代码签名,根据CA安全理事会的最低要求-证书颁发机构有义务推荐加密硬件作为主要发行选项。如果不是在加密硬件上发布的,则必须从客户那里获得一个协议,即他们将把私钥存储在某种可移动硬件上(当签名不进行时,他们会将其删除)根据Adobe批准的信任列表(AATL)要求,数字签名需要在Adobe产品中公开可信。行业特定的法规,如FDA的cfr21第11部分和国家工程数字签名要求,通常都有关于私钥归所有者所有的语言。在加密硬件上存储可以满足这些要求。 硬件安全模块(HSM)HSMs是另一种基于加密硬件的密钥存储选项,特别是如果您不想这样做,或者依赖单个令牌太麻烦了。虽然令牌更倾向于使用手动或一次性应用程序的最终用户(例如,签署较低数量的文档或代码,向vpn或其他网络进行身份验证),但hsm使用api,可以支持自动化的工作流和构建。它们还可以帮助满足FIPS合规性,并且通常提供比代币更高的评级。传统上,HSMs是位于内部的物理设备,需要内部资源来管理和确保满足基线要求和sla。这可能会导致成本高昂和资源密集,这在过去阻碍了采用。幸运的是,近年来