黑帽大會:超過60%網站SSL配置不當
所有SSL服務器中有一半以上運行較舊的不安全版本的SSL,黑帽大會上詳細分析了針對HTTPS瀏覽器會話的攻擊。
關于SSL網站的好消息就是:大多數SSL網站都運行著強大的加密技術。壞消息就是:超過60%的網站配置不當。
Qualys公司的工程、網絡應用程序防火墻和SSL主管和兼研究人員Ivan Ristic公布了他對1.2億注冊域名的研究結果。Ristic發現其中2000萬注冊域名支持SSL,而只有72萬可能包含有效SSL證書,“這是非常小的比例,但是這并不真正意味著只有一小部分網站在使用SSL,據我們所知,”Ristic表示。
更能說明問題的是,在所有SSL網站中,一半以上在使用SSLv2,這是較舊版本的SSL,并且不安全。只有38%的SSL網站配置良好,而32%在協議中包含之前曝光的重新談判漏洞。
與此同時,研究人員Robert Hansen and Josh Sokol詳細說明了針對瀏覽器的HTTPS/SSL的24種利用技術,利用的是中間人攻擊。其中包括:cookie中毒和注入惡意內容到瀏覽器標簽。研究人員警告說,HTTPS并不能保證瀏覽器的保密性和完整性。
“天并沒有塌下來,但是目前來說,SSL是相當脆弱的,”Hansen在黑帽大會中表示,“需要有適當的標簽隔離、cookie沙盒等。”他推薦使用單獨的瀏覽器來訪問包含敏感信息的網站。
同時,Ristic表示,雖然SSL網站的狀態在安全方面來說很“一般”,不過現在SSL還很少被攻擊者攻擊。“我認為,SSL并不是現在常見的攻擊向量,因為還有更多更容易攻擊的對象,現在我們應該開始修復SSL的問題,這是可以修復的問題。”
三分之二的SSL網站使用的是默認設置,這使它們很容易受到攻擊,“為了解決這個問題,你應該提高警惕,與最終用戶或者供應商交談,看看是否能實現更好的配置,這可能也是更可行的解決方案,”Ristic表示。例如,對SSL服務器中不安全協議的默認支持就是一個常見錯誤問題。
“要配置好SSL服務器只需要花15分鐘,為證書選擇密鑰尺寸,禁用不安全協議,并禁用不安全密碼。”
而不安全的SSLv2很容易受到中間人攻擊,雖然該版本SSL在大多數主流瀏覽器中已經禁用,但仍然運行很多SSL網站,“最可悲的就是,超過一半SSL網站支持SSL2,幾年來,我們一直知道這是不安全的。”
他發現,而在SSL網站,反而很少或者不支持較安全的TLS1.1和1.2協議。
但調查發現,大多數SSL網站都使用了強大的加密技術,128位甚至更高。整體而言,Ristic表示,只有38.4%的SSL網站在安全和配置方面能夠得到A,而只有61.46%可以得到B或者更低分。Ristic計劃公布此次調查的所有數據,并且計劃每年進行一次調查。
【編輯推薦】
