Как произносить французский Е (ø, œ)?
互联网前200,000个支持HTTPS的网站中有90%易受已知类型的SSL(安全套接字层)这是一家非营利组织,致力于解决互联网安全,隐私和可靠性问题,该公司周四发布了一份报告称,该报告基于来自一个名为SSL Pulse的新TIM项目的数据。使用由安全厂商Qualys开发的自动扫描技术,分析Web分析公司Alexa发布的排名前100万网站上HTTPS实施的实力。
SSL Pulse检查支持HTTPS的网站(SSL 2.0,SSL 3.0,TLS 1.0,TLS 1.1等)支持哪些协议,用于保护通信的密钥长度(512位,1024位,2048位等) 。)和支持的密码强度(256位,128位或更低)。
[更多阅读:如何从Windows PC中删除恶意软件]
使用算法来解释扫描结果并指定对每个HTTPS配置评分在0到100之间。然后将得分转换为等级,A最高(超过80分)。在支持HTTPS的Alexa 100万个网站中,近200,000个网站中有一半获得了A的质量配置。这意味着他们使用现代协议,强密码和长密钥的组合。
尽管如此,只有10%的扫描网站被认为是真正安全的。 75% - 约148,000 - 被发现容易受到BEAST攻击,该攻击可用于解密来自HTTPS请求的身份验证令牌和Cookie。
BEAST攻击由安全研究人员Juliano Rizzo和Thai Duong于2011年9月在阿根廷布宜诺斯艾利斯举行的ekoparty安全会议上发布。它是一种较旧理论攻击的实际实施,并影响SSL / TLS分组密码,如AES或Triple-DES。传输层安全(TLS)协议版本1.1,但许多服务器为了向后兼容性的原因继续支持较旧和易受攻击的协议,如SSL 3.0。这些服务器很容易受到所谓的SSL降级攻击,即使目标客户端支持安全版本,也可以欺骗使用易受攻击的SSL / TLS版本。
减轻服务器端BEAST攻击的最简单方法是Qualys公司工程总监Ivan Ristic通过电子邮件表示,将RC4密码作为HTTPS连接的优先级。 RC4是流密码,不容易受到此攻击。
除支持多种协议外,许多支持HTTPS的服务器还支持多种密码以确保与各种客户端的兼容性。可以在服务器上使用特殊设置来指定密码的使用顺序并优先考虑RC4。
“我相信大多数管理员不知道需要执行此任务,”Ristic说。
针对BEAST攻击的保护已经内置到新的浏览器中。然而,有很多人,特别是在商业环境中,使用Internet Explorer 6等旧浏览器的人仍然很脆弱,Ristic表示。“SSL Pulse扫描还显示,在200,000个支持HTTPS的网站中,超过13%支持SSL连接的不安全重新协商。这可能会导致中间人攻击,从而危害用户和易受攻击服务器之间的SSL保护通信。“对于您的普通网站 - 这些网站没有任何实质性价值 - 风险大概是非常小,“Ristic说。 “但是,对于可能以某种方式利用的用户数量众多的站点或者高价值站点(例如金融机构),风险可能非常大。”
固定不安全的重新协商漏洞是相当容易的,只需要应用补丁,里斯蒂奇说。
TIM计划执行新的SSL脉冲扫描和更新,以便跟踪哪些进展网站与他们的SSL进行按月统计
这是更大型的TIM项目的一部分,它将重点关注SSL实施和治理问题。该组织还于周四宣布成立SSL互联网特别工作组,负责制定和提出解决这些关键领域已知问题的解决方案。工作组成员包括贝宝首席信息安全官Michael Barrett, Taher Elgamal,SSL协议的创造者之一; Adam Langley,谷歌软件工程师,负责Chrome和公司前端服务器的SSL; Convergence项目的创造者Moxie Marlinspike提供了SSL证书验证的另一种方法; Qualys SSL实验室的创始人Ivan Ristic和证书颁发机构GlobalSign的首席技术官Ryan Hurst
