电子商务领域SSL证书最佳实践
发布日期:2017-03-03国际支付卡行业协会PCI(Payment Card Industry )安全标准委员会在2017年1月,为PCI数据安全标准(PCI DSS)添加了补充方案,详述安全电子商务最佳实践,推荐电子商务企业部署OV SSL证书和EV SSL证书,通过更高级别的认证建立在线信任,提升消费者在线交易的信心,其中详细的安全部署建议值得电子商务企业参考。
SSL证书的重要性
电子商务过程涉及用户数据的存储和传输、用户浏览行为的记录、付款操作及持卡人信息安全等诸多方面。一些常见的电子商务实现包括:付款处理应用程序,应用程序编程接口(API),电子数据交换(EDI)的网关,内联框架(IFrames)或由第三方托管的付款页面等等。PCI数据安全标准要求电子商务企业需要通过各类技术在各个环节,确保用户隐私数据及支付信息的安全。
SSL证书在电子商务网站、API及网关传输等方面的应用都起到非常重要作用。网站上安装SSL证书,对浏览器传输到网站服务器的数据进行加密,确保数据不会被窃听者拦截,认证网站服务器的真实身份,让用户确信敏感信息(支付卡信息或其他数据等)正发送到正确的服务器,而不是欺诈者或数据窃取者的服务器。
不是所有SSL证书都具备同等信任
虽然所有类型的SSL证书都符合PCI数据安全标准对于公共网络传输加密的要求,但是并非所有SSL证书都具备同等信任水平。证书颁发机构(CA)提供三种不同的服务器验证方式,对应三种信任级别的SSL证书:域名验证型DV SSL证书、企业验证型OV SSL证书和扩展验证型EV SSL证书。其中只有OV SSL证书和EV SSL证书才能真正帮助电子商务行业实现安全与可信,这也是PCI安全标准委员会推荐这两类证书的主要原因。
(1)DV SSL证书的缺陷
SSL证书设计之初被赋予两个重要使命,一方面是实现数据加密传输,保护数据安全,另一方面是进行服务器身份认证,确保网站身份真实可信。OV SSL证书是早期唯一类型的SSL证书,CA机构必须验证域名所有权、企业真实身份等详细信息后,才会给申请企业颁发证书。
图一:OV SSL证书认证信息展示
由于一些企业抱怨身份认证需要一定的审核成本及审核周期,OV SSL证书在推广之初普及进程缓慢,因此催生出一种新的SSL证书类型。DV SSL证书简化了身份认证流程,仅验证域名所有权即可颁发证书,大大降低了证书成本、缩短了审核周期,受到市场欢迎。但是,经过简化的DV SSL证书仅起到数据传输加密的作用,完全失去了SSL证书原有的身份认证功能。
图二:DV SSL证书认证信息展示
存在功能缺陷的DV SSL证书,可被钓鱼网站及欺诈网站利用,给消费者营造“看起来很真实”的假象,欺骗用户信任。用户看到浏览器显示安全锁,便认为敏感数据(支付卡信息及其他数据)已经经过加密,安全传输到服务器,但却不知道可能传输到了欺诈者或数据窃取者的服务器上。DV SSL证书的应用推动了网络传输加密的普及,但是对提升电子商务在线交易的信心没有任何帮助。
图三:使用DV SSL证书的钓鱼网站,Chrome标记为“安全”
(2)EV SSL证书诞生,提升在线交易信心
EV SSL证书就是为提升电子商务在线交易信心而诞生的。国际标准组织“CA /浏览器论坛”推出扩展验证型EV SSL证书及相关标准,在OV SSL证书的验证基础上,增加了更严格的身份验证流程,并增强了浏览器的身份信息展示方式。通过浏览器绿色地址栏、安全锁及直观展示组织机构名称等视觉展示方式,用户更容易识别该网站已经过严格的身份认证,可以放心地进行在线交易。
图四:EV SSL证书的浏览器展示效果
严格的扩展身份验证使EV SSL证书更难获得,钓鱼欺诈者和网络犯罪分子不会为此分享自己的真实身份信息,也无法冒用其他企业的身份信息,因此使用EV SSL证书进行钓鱼欺诈是难以实现的。根据Netcraft研究统计,2014年3月至2015年6月使用HTTPS加密的网络钓鱼站点中,超过77%使用的是匿名的DV SSL证书,但没有使用EV SSL证书用于钓鱼欺诈的案例记录。EV SSL证书成为电子商务企业反击钓鱼欺诈网站、假冒网站的最佳利器。
电子商务企业SSL证书选择建议
PCI安全标准委员会建议进行电子商务的合法企业购买OV SSL或EV SSL证书,提升在线交易信心,增加在线交易成功概率。下表总结了各种SSL证书级别。
图五:各种SSL证书级别
DV SSL证书:电子商务网站不推荐DV SSL证书。可信性风险较低的情况下,可以选择DV SSL证书,仅提供数据加密传输,例如没有消费者参与的内部服务器与服务器之间的通信。
OV SSL证书:建议面向公众的、处理敏感信息较少的网站,可以选择OV SSL证书,为消费者提供一定的身份信息展示及数据传输加密。
EV SSL证书:对于需要处理支付卡信息、持卡人数据(CHD)、个人身份信息(PII)等敏感数据的网站,推荐使用最高认证级别的EV SSL证书,保护在线安全,增强在线信任。
SSL证书安全配置建议
PCI建议不管是何种证书类型,都应按照最高级别的安全性完成证书配置。
(1)现代TLS加密的最佳配置
- 仅使用和支持TLS 1.2以上的加密协议,低版本加密协议已经缺乏足够的安全性;
- 将认证和密钥协商协议分开,以使用不同的加密密钥,减少未经授权的密钥使用或密钥泄露带来的影响。
- 按照NIST的密钥管理建议,选择正确的密钥长度和散列函数用于数字签名和密钥协商,以保证交易的完整性。
- 确保客户端使用当前TLS协议版本,并确保服务器和客户端协商时选择当前TLS协议版本。
以上做法可以确保电子商务组织对客户数据的持续保护,避免旧的加密算法削弱时面临的安全挑战。
(2)利用监控工具管理SSL证书
一些免费工具及应对更大更复杂应用环境的商业化工具或服务,可以帮助电子商务企业更好地管理SSL证书,具体包括:
- 检查证书(通用名称,密钥大小/类型,证书透明度,有效期):这些检查确保公共名称语法正确,密钥大小满足最小长度要求,密钥类型有效(例如,RSA或ECC),包含证书透明度时间戳,有效期不超过允许的最大值。
- 检查证书链,中间CA和根CA:这些检查验证证书是否具有正确的链,并且链向已知的中间根和公开信任的根。
- 检查支持的密码和协议以及任何漏洞:检查验证加密密码和协议是不是允许的类型。
- 检查OpenSSL漏洞。
- 检查服务器漏洞。
建议电子商务企业安排定期测试以确保TLS证书实施的质量,并在更改证书、Web服务器、负载均衡/应用程序交付控制器、网络更改及任何其他重大更改后也安排测试。
本文由 沃通CA 根据 PCI 安全电子商务最佳实践编译整理,转载请注明出处
http://www.wosign.com/News/2017-0303-01.htm