对HTTPS浏览器会话的攻击分析
注释:超过一半的SSL服务器运行的SSL比原始版本要早。在黑帽会议上,对HTTPS浏览器会话的攻击进行了详细分析。关于SSL网站的好消息是,大多数SSL站点运行强大的加密技术。坏消息是,超过60%的网站配置不正确。Qualys的工程、网络应用防火墙和SSL主任、研究员Ivan Ristic发表了他对1亿2000万注册域名的研究能发现2000万的。注册域名支持SSL,而只有72万的可能包含有效的SSL证书,这是一个非常小的比例,但这并不意味着只有一小部分的网站使用SSL,据我们所知,Ristic。
问题是,一半以上的SSL网站使用SSL版本2,这是SSL的旧版本是不安全的。只有38%的SSL网站的配置,并在协议32%包含此前曝光的谈判漏洞。
同时,研究者罗伯特汉森和Josh Sokol详细的浏览器HTTPS / SSL 24利用技术,利用中间人攻击,其中包括:Cookie中毒和注入恶意内容的浏览器标签。研究人员警告说,HTTPS并不能保证浏览器的保密性和完整性。
天没有塌下来,但目前,SSL是相当脆弱的,汉森在黑帽大会上表示,需要适当的标签隔离,cookie沙箱等。他建议使用一个浏览器访问包含敏感信息的站点。Rdquo。
同时,Ristic说,虽然SSL站点的状态从非常安全;一般;但现在SSL很少受到攻击者的攻击。Ldquo;我认为SSL现在不是常见的攻击向量,因为有很多更脆弱的物体攻击。现在我们应该开始修复SSL问题,这是一个可以修复的问题。
2 / 3的SSL网站使用的是默认设置,这使得他们的攻击,很容易为了解决这个问题,你应该提高警惕,跟最终用户或供应商,看看是否能实现更好的配置,这可能是更可行的解决方案, Ristic说,例如,在一个不安全协议SSL服务器默认支持是一个常见的错误问题。
配置SSL服务器只需要15分钟,选择证书的密钥大小,禁用不安全协议,并禁用不安全的密码。
不安全的SSL版本2容易受到中间人攻击,虽然SSL版本已在大多数主流浏览器禁止,但仍然跑很多SSL网站,最伤心的是,超过一半的SSL网站支持ssl2,近几年来,我们一直知道它是不是Rdquo的安全;
他发现在SSL的网站,而不是支持更安全的tls1.1 1.2协议。
但调查发现,大多数SSL网站都使用强大的加密技术,128甚至更高。作为一个整体,Ristic的说,只有38.4%的SSL网站可以得到一个安全的配置,只有61.46%得到B或更低。里斯蒂奇计划公布调查的所有数据和计划年度调查。