SSL/TLS 通訊保密協議保安指引

SSL/TLS 通訊保密協議在資訊系統及互聯網的應用非常廣泛，它確保了應用通訊的保密性。其中最常見的是用於網站與瀏覽器之間的通訊加密HTTPS。典型的例子是防止電子商貿中的交通被中間竊聽或修改交易數據。不過，部份SSL/TLS協議存在漏洞或弱點，如果設置不當，可能增加資訊保安的風險。

根據 SSL Pulse 項目所收集的數據(由項目2012年4月首次發布日至2015年5月7日)，分析了SSL/TLS通訊保密協議在使用上的保安問題。當中，發現有超過四分之三參與此項目的網站在 QUALYS SSL Server Test 中被評為「保安不足」 (B或以下)。 同時，只有約四分之一的網站能於此測試中獲得「A」級成績。這顯示大部份參與測試的網站在配置SSL/TLS通訊保密協議上仍然有頗大的進步空間，情況值得關注。


指示﹕使用「檢查--修正--驗證」的方法去提高網站於使用SSL/TLS上的保安。

本指引主要分為兩個部份，第一部份是「檢查」，此部份介紹如何使用免費工具「檢查」網站的SSL/TLS通訊保密協議及其配置。你將於完成檢查後獲知測試網站的SSL/TLS保安評級及取得檢查報告。完成「檢查」後，你可把檢查報告交給技術人員跟進，以執行「修正」方案。

第二部份是「修正」，此部份介紹一些SSL/TLS通訊保密協議的使用安全及配置建議，技術人員可參考此部份來執行「修正」方案，以改進測試網站的SSL/TLS保安評級。完成執行「修正」方案後，你需要進行「驗證」，重複第一部份的相同檢查去「驗證」SSL/TLS保安評級是否有所改進。

 

 
有關詳情，請到本中心的保安指南瀏覽

/my_url/zh/guideline/16030301