网络攻击是公司的日常问题，但当您面临SSL威胁时，您就会遇到大麻烦。虽然大多数用户认为加密为黑客提供了坚不可摧的屏障，但安全专家非常清楚，黑客可以操纵SSL证书发送任何类型的恶意软件而不会被发现。请查看以下可能会影响您通过Internet进行通信的威胁列表。

什么是SSL威胁？

如今，大多数互联网通信使用安全套接字层(SSL)和传输层安全(TSL)来加密数据。这样，可以确保隐私和数据完整性。例如，当您发送电子邮件时，数据会被加密，直到到达目的地。

不幸的是，这些加密协议无法区分数据是否恶意。因此黑客利用了这一点，开始使用SSL协议来发送无法检测到的漏洞和漏洞利用，除非首先将包解密以进行检查。否则，攻击将通过感染受害者。所以基本上，我们可以说SSL威胁是一种加密攻击。

基于SSL的威胁源

使用SSL进行的网络钓鱼攻击显着增加。没什么奇怪的，因为接受SSL的合法网站每天都在增加。尽管许多公司已投资解决硬件级别的漏洞，但其中只有少数公司执行了全面的SSL检查。除非一个组织可以检查100%的所有SSL流量，但特别是豁免的SSL流量，否则它就有可能受到网络攻击的风险。

根据Zcaler进行的研究，目前使用SSL感染受害者的最具攻击性的恶意软件如下：

Vawtrack

Vawtrack是一种木马，也称为银行恶意软件，因为它是攻击在线银行门户的主要威胁之一。在设备上安装Vawtrack后，它可以创建允许攻击者访问的VNC和socks服务器。尽管该恶意软件能够捕获屏幕截图和视频，但其主要目的是通过各种设备来源窃取登录凭据，例如FTP客户端、电子邮件客户端、Web浏览器等。Vawtrack还可以创建虚假模板和Web表单来诱导受害者透露他们的机密数据。该恶意软件允许下载和验证SSL证书以启动HTTPS连接。

广告软件

广告软件能够分发脚本来重定向漏洞。尽管可以通过SSL加密来控制这种威胁，但在某些情况下，恶意软件已经设法破坏安全屏障，在HTTPS流量中放置不需要的宣传。Superfish和PrivDog等广告软件可以在受害者的设备上安装CA（认证机构）证书，以捕获他们的网络流量并在上网时插入广告。该广告软件具有攻击性的一个例子是PrivDog，它将用户重定向到使用虚假SSL证书的网站。InstallCore是另一种广告软件，它会诱使用户安装Flash插件或Java更新，这些插件或Java更新只会插入恶意脚本来操纵用户设备中的主页和搜索引擎。

Gootkit是一种专门用于感染Windows设备的木马。Gootkit将受感染的设备变成僵尸，成为僵尸网络的一部分。它的主要目标是窃取银行信息。该恶意软件通过在HTTPS流量中放置恶意脚本来捕获用户数据。Goodkit通过SSL执行，无需安装文件。

德里德克斯

打开可能导致SSL攻击的门

防止基于SSL的攻击的具体操作

认证算法

不要信任自签名证书。一个可靠的证书最好使用SHA-2哈希算法。此外，扩展验证(EV)证书为网站提供了更高级别的信任。大多数浏览器将带有EV的网站标记为绿色

摆脱以前版本的SSL

SSL协议已经展示了几个漏洞，尤其是SSL2.0。另一方面，SSL3.0的强度在被成功违反后也受到质疑。今天最安全的协议是TLS，尽管这并不意味着它没有漏洞。它提供了比其前身更多的保证，并且被大多数浏览器所接受。根据PonemonInstitute的报告，51%的公司计划安装某种形式的流量解密，而62%的公司表示他们不对解密的流量进行任何检查。

客户的密码和重新协商

由于加密的弱点，小于128位的密码不能提供足够的安全性。您最好更改为ECDHE加密。当你这样做时，不要忘记启用前向保密选项以避免被截获的通信。另一方面，通过禁用客户端的重新协商，您可以随时停止客户端和服务器之间通过SSL进行的信息交换。

避免犯罪攻击。

犯罪攻击以其通过TLS压缩过程破译安全连接的能力而闻名。为避免这种情况，步骤很明显：禁用TLS压缩。

启用HSTS并验证cookie的安全性

用户会话中涉及的所有cookie都必须使用特殊属性进行保护。这将防止它们被拦截。您还必须在HTTP上启用HSTS（严格传输安全）以扩展您的安全性并避免与其他网站的未加密通信。