很多 SSL *** 没有使用最新的加密技术。
信息安全公司 —— High-Tech Bridge 进行了一项关于 SSL *** 的调查。研究发现 90% 提供 SSL *** 服务的服务器并没有提供应有的安全服务,主要是因为这些服务器使用了不安全以及过时的加密技术。
SSL *** 不同于传统的 IPSec *** ,因为它可以直接在一个标准的 Web 浏览器中使用,不需要在客户端上安装额外的专用软件。 SSL *** 安装在服务器上,客户端通过浏览器单独连接到 *** 。用户浏览器和 *** 服务端的连接通过 SSL 或 TLS 协议加密。
76% 的 SSL *** 使用不受信任的证书
High-Tech Bridge 的研究人员说他们分析了随机选择的 10,436 台 SSL *** 服务器,发现了大多数都极不安全。他们声称 77% 的 SSL *** 使用 SSLv3 或 SSLv2 来加密流量。而这两个版本的 SSL 现在已经被认为是不安全的。部分国际和国家的安全标准已经禁止使用它们了,如: PCI DSS 和 NIST SP 800-52 。
我们暂且忽略使用的 SSL 版本,但是 76% 的 SSL *** 服务器还使用了不受信任的证书,这些没有被证实的 SSL 证书可以被***者模仿,从而对不知情用户发起中间人***。 High-Tech Bridge 的专家说导致这样的情况是因为很多 SSL *** 服务器很少更新默认的预装证书。
一些 *** 仍然使用 MD5 来签名证书。
此外,研究人员还指出,74% 的证书使用 SHA-1 签名,5% 的证书使用 MD5 哈希,这些技术都是被认为已经过时了。41% 的SSL *** 也在他们的 RSA 证书上使用长度为 1024 的不安全密钥。在过去的几年里,任何长度小于 2048 的 RSA 密钥被认为是极不安全的。
更糟的是,十分之一的 SSL *** 服务器仍然存在两年前发现的心脏出血漏洞,尽管有可用的补丁。研究人员说在所有被测试的 SSL *** 中,只有 3% 的服务器是符合 PCI DSS 要求的,没有服务器符合 NIST (美国国家标准与技术研究所) 的标准。
High-Tech Bridge 也提供了一个供用户检测他们的 SSL *** 和 HTTPS 网站是否安全的免费工具。
该安全工具使用地址:https://www.htbridge.com/ssl/
SSL *** 的评级分布( F 到 A 安全等级依次增加):
Linux Story 温馨提示,如需了解详情请访问原文链接
本文链接:http://www.linuxstory.org/90-percent-of-all-ssl-***-use-insecure-or-outdated-encryption