关于ssl网站的好消息就是:大多数ssl网站都运行着强大的加密技术。坏消息就是:超过60%的网站配置不当。qualys公司的工程、网络应用程序防 火墙和ssl主管和兼究人员ivan ristic公布了他对1.2亿注册域名的研究结果。ristic发现其中2000万注册域名支持ssl,而只有72万可能包含有效ssl证书,“这是非 常小的比例,但是这并不真正意味着只有一小部分网站在使用ssl,据我们所知,”ristic表示。
更能说明问题的是,在所有ssl网站中,一半以上在使用sslv2,这是较旧版本的ssl,并且不安全。只有38%的ssl网站配置良好,而 32%在协议中包含之前曝光的重新谈判漏洞。
与此同时,研究人员robert hansen and josh sokol详细说明了针对浏览器的https/ssl的24种利用技术,利用的是中间人攻击。其中包括:cookie中毒和注入恶意内容到浏览器标签。研究人员警告说,https并不能保证浏览器的保密性和完整性。
“天并没有塌下来,但是目前来说,ssl是相当脆弱的,”hansen在黑帽大会中表示,“需要有适当的标签隔离、cookie沙盒等。”他推荐使用单独的浏览器来访问包含敏感信息的网站。
同时,ristic表示,虽然ssl网站的状态在安全方面来说很“一般”,不过现在ssl还很少被攻击者攻击。“我认为,ssl并不是现在常见的攻击向量,因为还有更多更容易攻击的对象,现在我们应该开始修复ssl的问题,这是可以修复的问题。”
三分之二的ssl网站使用的是默认设置,这使它们很容易受到攻击,“为了解决这个问题,你应该提高警惕,与最终用户或者供应商交谈,看看是否能实现更好的配置,这可能也是更可行的解决方案,”ristic表示。例如,对ssl服务器中不安全协议的默认支持就是一个常见错误问题。
“要配置好ssl服务器只需要花15分钟,为证书选择密钥尺寸,禁用不安全协议,并禁用不安全密码。”
而不安全的sslv2很容易受到中间人攻击,虽然该版本ssl在大多数主流浏览器中已经禁用,但仍然运行很多ssl网站,“最可悲的就是,超过一半ssl网站支持ssl2,几年来,我们一直知道这是不安全的。”
他发现,而在ssl网站,反而很少或者不支持较安全的tls1.1和1.2协议。
但调查发现,大多数ssl网站都使用了强大的加密技术,128位甚至更高。整体而言,ristic表示,只有38.4%的ssl网站在安全和配置方面能够得到a,而只有61.46%可以得到b或者更低分。ristic计划公布此次调查的所有数据,并且计划每年进行一次调查。
如对本文有疑问,
点击进行留言回复!!
相关文章:
-
-
-
-
-
-
-
-
-
为什么要重提“内容为王”?
自从互联网行业开始起步,到现在为止,一直都是非常重要的。搜狐、网易、新浪这三大门户当初发家致富就是靠新闻资讯,新闻资讯很明显是内容。而优酷、爱奇艺的发展也明显走...
[阅读全文]
-
如何有效的运营教育类网站?
现在孩子教育都是家长最关心的事情,我们如果做的就是高考培训或者中考培训,我们就要把关键词主要针对这部分的群体。那么,教育类网站建设从哪些方面考虑,又该如何做运营...
[阅读全文]
-
我要评论
网友评论