通過web服務(wù)器與客戶端之間的相互認(rèn)證并加密信息交互，是網(wǎng)絡(luò)安全保護(hù)的一項(xiàng)基本功能。據(jù)最新數(shù)據(jù)顯示，截止2017年上半年，已有超過一多半的網(wǎng)絡(luò)流量獲得了加密保護(hù)。

　　盡管如此，HTTPS安全性的等級(jí)仍參差不齊。流量加密強(qiáng)度是否足夠?企業(yè)的HTTPS配置是否足夠縝密?單憑SSL部署能夠確保數(shù)據(jù)安全?種種有待解決的問題催生出大量網(wǎng)絡(luò)安全診斷工具，對(duì)網(wǎng)絡(luò)安全性進(jìn)行評(píng)估定級(jí)與配置建議。部分工具可以提供基礎(chǔ)信息并對(duì)增強(qiáng)HTTPS配置提供建議。另外一些則具有幕后優(yōu)化功能，為企業(yè)的HTTPS配置提供更為深入的分析，包括SSL漏洞狀態(tài)報(bào)告等。其中，SSL Labs by Qalys以其綜合性和深入性脫穎而出，成為SSL部署行業(yè)標(biāo)準(zhǔn)的工具。

　　SSL Labs如何為web服務(wù)器進(jìn)行安全性測(cè)試和評(píng)級(jí)?

　　SSL Labs根據(jù)其SSL服務(wù)器評(píng)級(jí)準(zhǔn)則對(duì)企業(yè)用戶的網(wǎng)站進(jìn)行評(píng)級(jí)，從最高級(jí)A到最低級(jí)F，安全性依次降低。SSL Labs評(píng)級(jí)主要關(guān)注證書和配置兩方面，在驗(yàn)證其有效性與受信性的同時(shí)，檢查服務(wù)器配置，并將其分為三類：協(xié)議支持、密鑰交換支持和加密算法支持。

　　協(xié)議支持：檢查可用的SSL協(xié)議版本，即：下列五個(gè)版本中都支持哪些：SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1以及TLS 1.2;

　　密鑰交換支持：檢查密鑰交換參數(shù)優(yōu)勢(shì) ;

　　加密算法支持：檢查所支持的加密算法套組，同時(shí)按優(yōu)先服務(wù)器順序從強(qiáng)到弱地列出加密算法。

　　SSL Labs將以上各分類進(jìn)行評(píng)分，綜合得出總分，并將其轉(zhuǎn)換為對(duì)應(yīng)的等級(jí)，最后檢查無法通過數(shù)值評(píng)估來表現(xiàn)的其它服務(wù)器配置項(xiàng)，確定其是否有其它特征，如是否支持TLS_FALLBACK_SCSV、OCSP stapling或HSTS。根據(jù)補(bǔ)充檢查調(diào)整確定最終評(píng)分等級(jí)。在最后的調(diào)整過程中，即使評(píng)分不降，也不可能拿到A+的分?jǐn)?shù)。分?jǐn)?shù)與等級(jí)的對(duì)應(yīng)關(guān)系如下所示：

　　SSL Labs評(píng)分與等級(jí)轉(zhuǎn)換表

　　SSL Labs何以成為網(wǎng)絡(luò)安全性的權(quán)威評(píng)級(jí)標(biāo)準(zhǔn)?

　　SSL Labs誕生之初，包括Imperva安全研究院及其很多用戶在內(nèi)的安全研究機(jī)構(gòu)都曾置疑SSL Labs的測(cè)試方法與有效性，但時(shí)至今日，SSL Labs已成為一種標(biāo)配方案。這種形勢(shì)上的轉(zhuǎn)變，根本原因在于SSL Labs不僅提供SSL/TLS部署的安全性評(píng)分，而且包括了針對(duì)安全違規(guī)功能的檢查。企業(yè)用戶逐漸意識(shí)到，其網(wǎng)站等級(jí)以及SSL/TLS部署已為眾人皆知。同時(shí)，越來越多的用戶開始使用SSL Labs作為了解各自網(wǎng)站安全性的指導(dǎo)工具。如果評(píng)級(jí)差，則可能對(duì)網(wǎng)站信譽(yù)造成負(fù)面影響，如被潛在用戶認(rèn)為網(wǎng)站不安全，從而帶來間接的財(cái)務(wù)損失。

　　例如，如果顧客在某電商網(wǎng)站購物，發(fā)現(xiàn)該網(wǎng)站的網(wǎng)站安全評(píng)級(jí)被SSL Labs評(píng)為F級(jí)，那么顧客對(duì)于在此網(wǎng)站上的購物安全就難以放心，可能斟酌再三而影響下單決策。簡(jiǎn)言之，在SSL Labs評(píng)價(jià)系統(tǒng)中拿到高分，不僅代表了網(wǎng)站安全性有了最強(qiáng)的保障，而且能夠帶來更高的客戶信任度和更大的潛在收益。Imperva SecureSphere Web Application Firewall(WAF)正是可以通過簡(jiǎn)單而行之有效的部署方式，幫助企業(yè)獲得SSL Labs評(píng)分A+，同時(shí)超越SSL部署的局限，在更高的程度上保障網(wǎng)絡(luò)安全。

　　企業(yè)用戶害怕拿到SSL Labs F評(píng)級(jí)

　　如何通過部署WAF獲得SSL Labs A+評(píng)級(jí)?

　　只有部署WAF，才能幫助企業(yè)盡快實(shí)現(xiàn)SSL Labs A+評(píng)級(jí)。而部署WAF的步驟非常簡(jiǎn)單，不需要更改后臺(tái)服務(wù)器，同時(shí)借助SSL配置管理工具，使SSL配置也得到了極大的簡(jiǎn)化。

　　以SecureSphere WAF新發(fā)布的13.0版產(chǎn)品為例。該產(chǎn)品配有默認(rèn)配置模板，方便用戶輕松配置，可直接幫助用戶取得完美的SSL Labs A+評(píng)級(jí)。用戶只需要部署反向代理模式即可，按照下面兩個(gè)簡(jiǎn)單的步驟即可完成：

　　1) 查看缺省SSL設(shè)置

　　在“Main”工作頁面下，選擇Setup > Global Object。然后在Scope Selection條下，選擇SSL Settings并選擇“SSL Labs A+ RP Server Side SSL Settings”模板，然后查看配置，并確保可接受此類設(shè)置。

　　在Imperva SecureSphere WAF中，設(shè)置自定義SSL設(shè)置或使用缺省設(shè)置，實(shí)現(xiàn)SSL Labs A+評(píng)級(jí)。

　　2) 將設(shè)置應(yīng)用到企業(yè)的各應(yīng)用中

　　在Main工作頁面下，選擇Setup > Sites。在Sites Tree欄中，選擇需要保護(hù)的各項(xiàng)服務(wù)。在Reverse Proxy標(biāo)簽下，選擇反向代理規(guī)則(KRP 或 TRP)下的“SSL Labs A+ RP Server Side SSL Settings”，然后點(diǎn)擊Save按鈕。

　　默認(rèn)實(shí)現(xiàn)A+級(jí)安全部署的前提，是需要安裝有效的SSL證書及所有中級(jí)CA證書，并在Web服務(wù)器或SecureSphere上啟用HSTS。

　　SecureSphere WAF 環(huán)境下的SSL Labs A+級(jí)部署

　　只要做到以上步驟，企業(yè)即可在Imperva的幫助下獲得A+安全評(píng)級(jí)。

　　另外，SSL Labs根據(jù)技術(shù)發(fā)展趨勢(shì)定期調(diào)整其評(píng)級(jí)標(biāo)準(zhǔn)與方法，而SecureSphere WAF也會(huì)持續(xù)監(jiān)控與追蹤SSL Labs的各類變化，隨時(shí)調(diào)整與更新Imperva的產(chǎn)品目標(biāo)，保證A+安全評(píng)級(jí)。

　　不止于A+級(jí)的安全保障

　　所有的安全專家都承認(rèn)，僅僅依賴作為網(wǎng)絡(luò)安全保護(hù)一個(gè)方面SSL部署是遠(yuǎn)遠(yuǎn)不夠的。SSL/TLS僅用于確保安全連接，并不能保護(hù)應(yīng)用免受任何類型的攻擊�，F(xiàn)在的攻擊多種多樣，如SQL injections和cross-site scripting等技術(shù)攻擊或site scraping和account takeover等商業(yè)邏輯攻擊。面對(duì)攻擊方式的多樣性，部署SSL之外，還需要更靈活、更有層次的保障。

　　部署Imperva SecureSphere Web Application Firewall在達(dá)成SSL Labs A+級(jí)防護(hù)的同時(shí)，還能解決多樣化攻擊的問題，能夠保護(hù)企業(yè)用戶部署在云或預(yù)置方案中Web應(yīng)用的安全，同時(shí)還幫助防止因企業(yè)用戶違規(guī)而造成的連帶損失、成本或品牌損害，為企業(yè)提供不止于A+級(jí)的網(wǎng)絡(luò)安全保護(hù)。