Internet Explorer 7中HTTPS安全性的改进
来源:
http://www.microsoft.com/china/MSDN/library/NetComm/HTTPS.mspx
本页内容
 |
介绍 |
|
理解兼容性影响 |
|
如何处理兼容性带来的影响 |
|
如何利用HTTPS安全性的改进 |
介绍
HTTPS使用加密来保护您的网络传输,以避免网络上的其他人进行窃听或者篡改.HTTPS使用安全套接字层(SSL)或者传输层安全(TLS)协议来保护数据。
为了改进安全性并增加新的功能,Windows Internet Explorer 7中对HTTPS执行做了修改。IE7中新的默认协议减少了其他人利用配置或者协议漏洞来使用HTTPS截取或者修改网络传输的可能性。新的错误页面提供了一个简单的用户体验帮助用户减少社会工程学和仿冒网站攻击。
这个文章将会帮助您理解如何处理IE7中HTTPS的改变带来的兼容性影响。
理解兼容性影响
最终用户或者网络管理员
作为Internet Explorer的用户,您可能从下面几个方面体验到HTTPS安全性的改进带来的兼容性影响。
| • |
现象:当浏览一个仅SSLv2的站点时,显示一个错误页面。 原因:Internet Explorer 7中默认关闭了SSLv2协议。SSLv2协议存在已知的安全问题,已被SSLv3和TLSv1协议替代。 |
| • |
现象:在Windows Vista上浏览一个被配置成使用弱密码(40位/56位加密)的HTTPS站点时,显示一个错误页面。 原因:在Windows Vista中,默认已经关闭了弱密码,仅开启强密码。 |
| • |
现象:当浏览一个显示包含错误的安全证书的HTTPS站点时,显示一个错误页面。 原因:为了改进安全性和用户体验,IE7阻止了访问显示包含错误的安全证书的HTTPS站点。 这个改变代替了出现在IE6中的对话框。 |
| • |
现象:当浏览一个含有HTTPS和HTTP混合内容的页面时,出现一个信息栏,代替Internet Explorer 6或更早版本中出现的对话框。 原因:为了改进安全性和用户体验,IE7默认阻止了在HTTPS页面显示HTTP内容。 这个改变代替了出现在IE6中的对话框。 |
| • |
现象:当在Windows Vista上浏览HTTPS站点时,出现一个针对证书撤回的检查,以决定证书是否仍然有效。 原因:Windows Vista中对性能作出的改进以及对OCSP协议的支持,通过默认开启撤回检查,使得Windows Vista上的IE7安全性得到了提升。 |
网站开发人员
作为网站开发人员,您可能从下面几个方面体验到HTTPS安全性的改进带来的兼容性影响。
| • |
现象:当浏览一个仅SSLv2的站点时,显示一个错误页面。 原因:Internet Explorer 7中默认关闭了SSLv2协议。SSLv2协议存在已知的安全问题,已被SSLv3和TLSv1协议替代。 |
| • |
现象:在Windows Vista上浏览一个被配置成使用弱密码(40位/56位加密)的HTTPS站点时,显示一个错误页面。 原因:在Windows Vista中,默认已经关闭了弱密码,仅开启强密码。 |
| • |
现象:当浏览一个显示包含错误的安全证书的HTTPS站点时,显示一个错误页面。 原因:为了改进安全性和用户体验,IE7阻止了访问显示包含错误的安全证书的HTTPS站点。 这个改变代替了出现在IE6中的对话框。 |
| • |
现象:当浏览一个含有HTTPS和HTTP混合内容的页面时,出现一个信息栏,代替Internet Explorer 6或更早版本中出现的对话框。 原因:为了改进安全性和用户体验,IE7默认阻止了在HTTPS页面显示HTTP内容。 这个改变代替了出现在IE6中的对话框。 |
应用程序开发人员
作为应用程序开发人员,您可能从下面几个方面体验到HTTPS安全性的改进带来的兼容性影响。
| • |
现象:当使用WININET连接一个配置为仅允许SSLv2的HTTPS站点时,返回一个错误。 原因:WININET默认关闭了SSLv2协议。SSLv2协议存在已知的安全问题,已被SSLv3和TLSv1协议替代。 |
| • |
现象:在Windows Vista上使用WININET连接一个被配置成使用弱密码(40位/56位加密)的HTTPS站点时,返回一个错误页面。 原因:在Windows Vista中,默认已经关闭了弱密码,仅开启强密码。 |
| • |
现象:当在Windows Vista上使用WININET连接HTTPS站点时,出现一个针对证书撤回的检查,以决定证书是否仍然有效。 原因:Windows Vista中对性能作出的改进以及对OCSP协议的支持,通过默认开启撤回检查,使得WININET安全性得到了提升。 |
如何处理兼容性带来的影响
最终用户
作为Internet Explorer 7的用户,您可以通过以下途径处理HTTPS安全性改进带来的兼容性影响。
| • |
现象:当浏览一个仅允许SSLv2的站点时,显示一个错误的页面。 处理:可以通过在Internet Control Panel的Advanced标签中的Security部分打开Use SSL 2.0标签而开启SSLv2。 您可以通过点击Internet Explorer中的Tools | Internet Options显示Internet Control Panel。 |
| • |
现象:在Windows Vista上使用WININET连接一个被配置成使用弱密码(40位/56位加密)的HTTPS站点时,返回一个错误页面。 处理:没有可用的推荐处理方法。连接站点的所有者,并要求他们使用强密码选项。 |
| • |
现象:当浏览一个显示包含错误的安全证书的HTTPS站点时,显示一个错误页面。 处理:如果站点的证书已过期,则没有处理方法。联系站点的所有者,并要求他们更新证书。 如果证书中的地址与网站的地址不匹配,可以通过在Internet Control Panel的Advanced标签中的Security部分取消Warn about invalid site certificates来关闭这个警告。不推荐修改这个设置。 如果证书未经可信任的证书颁发机构签名,并且您信任此机构,您可以增加证书签名。信任一个恶意的证书颁发机构将会对您的计算机造成威胁,所以请妥善使用。要想增加一个可信任的证书颁发机构,浏览到证书错误页面,并且点击Internet Explorer地址栏中的Certificate Error按钮。点击View Details链接。在Certification Path标签上,选择根证书,然后点击View Certificate按钮。在General标签上,点击Install Certificate. |
| • |
现象:当浏览一个含有HTTPS和HTTP混合内容的页面时,出现一个信息栏,代替Internet Explorer 6或更早版本中出现的对话框。 处理:在Internet Control Panel中的Security标签上,选择Internet图标并且点击Custom Level。向下滚动到Miscellaneous部分,调整Display mixed content设置的值。 将这个设置改变到Disable将阻止所有HTTP内容,并不出现提示。 不推荐通过修改这个设置到Enable来显示所有内容,而不出现提示。 |
| • |
现象:当在Windows Vista上浏览HTTPS站点时,出现一个针对证书撤回的检查,以决定证书是否仍然有效。 处理:如果这个特性在您的环境出导致性能问题,可以关闭证书撤回的选项。 您可以通过取消Internet Control Panel中的Advanced标签中的Security section中的Check for server certificate revocation来关闭这个特性。 |
网络管理员
作为运行着Internet Explorer 7的系统的网络管理员,您可以通过以下途径处理HTTPS安全性改进带来的兼容性影响。
| • |
现象:当浏览一个仅允许SSLv2的站点时,显示一个错误的页面。 处理: 可以通过在Internet Control Panel的Advanced标签中的Security部分打开Use SSL 2.0标签而开启SSLv2。 可以使用IEM控制用户优先键。 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,SecureProtocols是一个REG_DWORD类型。
因此,如果所有的协议都被开启,那么值应该是0x0A8 |
||||||
| • |
现象:在Windows Vista上浏览一个被配置成使用弱密码(40位/56位加密)的HTTPS站点时,显示一个错误页面。 处理:配置网络服务器软件提供强密码选项。如果无法操作网络服务器,请联系服务器操作人员。 |
||||||
| • |
现象:当浏览一个含有HTTPS和HTTP混合内容的页面时,出现一个信息栏,代替Internet Explorer 6或更早版本中出现的对话框。 处理:在Internet Control Panel中的Security标签上,选择Internet图标并且点击Custom Level。向下滚动到Miscellaneous部分,调整Display mixed content设置的值。 将这个设置改变到Disable将阻止所有HTTP内容,并不出现提示。 不推荐通过修改这个设置到Enable来显示所有内容,而不出现提示。 另外,可以通过使用组策略来配置这个特性,打开GPEdit.msc。在Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\Internet Zone下,选择Display Mixed Content.选择单选按钮Enabled激活策略,并且在下拉选择框中选择Enabled。 |
||||||
| • |
现象:当在Windows Vista上浏览HTTPS站点时,出现一个针对证书撤回的检查,以决定证书是否仍然有效。 处理:如果这个特性在您的环境出导致性能问题,可以关闭证书撤回的选项。 您可以通过取消Internet Control Panel中的Advanced标签中的Security section中的Check for server certificate revocation来关闭这个特性。 另外,可以通过使用组策略来配置这个特性,打开GPEdit.msc。在Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Advanced Page\Internet Zone点击Check for server certificate revocation,选择Disabled阻止撤回发生。 |
网站开发人员
作为使用Internet Explorer 7浏览的网站的开发人员,您可以通过以下途径处理HTTPS安全性改进带来的兼容性影响。
| • |
现象:当浏览一个仅允许SSLv2的站点时,显示一个错误的页面。 处理:在网络服务器软件中打开SSLv3或者更新的版本。 |
| • |
现象:在Windows Vista上浏览一个被配置成使用弱密码(40位/56位加密)的HTTPS站点时,显示一个错误页面。 处理:在网络服务器软件中打开强密码(128位或更高) |
| • |
现象:当浏览一个显示包含错误的安全证书的HTTPS站点时,显示一个错误页面。 处理:确保您在使用由可信任的根证书颁发机构颁发的有效的、非过期的安全证书。 确保证书中的地址与网站的地址相匹配。这在多主机地址的情况下尤其重要。 例如,一个颁发给email.example.com的证书在mailbox.example.com使用时是无效的。为了改正错误,要不购买一个列出所有主机名的证书,要不购买一个带有通配符的证书*.example.com. |
| • |
现象:当浏览一个含有HTTPS和HTTP混合内容的页面时,出现一个信息栏,代替Internet Explorer 6或更早版本中出现的对话框。 处理:确保HTTPS页面不包含由HTTP协议标明地址的嵌入式资源引用。 技巧:如果您有一个即可以使用HTTP,也可以使用HTTPS浏览的页面,使用和协议相关的超链接。 例如:www.example.com/account.htm页面即可以通过http://www.example.com/account.htm访问也可以通过https://www.example.com/account.htm that contains a single image访问。使用<img src="//www.example.com/pic.jpg">代替<img src="http://www.example.com/pic.jpg">。当用户通过HTTPS浏览account.htm时,pic.jpg通过HTTPS进行下载。当用户通过HTTP浏览account.htm时,pic.jpg通过HTTP进行下载。 |
如何利用HTTPS安全性的改进
网络管理员
作为一个网络管理员,您可以通过选择建立默认的Internet Explorer来为用户增强安全性。
使用组策略,您可以打开Prevent ignoring certificate errors policy。当打开后,HTTPS错误页面将不会显示选项,而会继续访问显示证书包含错误的页面。
