Проблемные места SSL: 90% сайтов HTTPS находятся под угрозой, 75% подвергаются атаке BEAST

Система SSL Pulse от Trustworthy Internet Movement подтверждает, что 90% из 200,000 наиболее популярных сайтов с поддержкой HTTPS являются не достаточно безопасными, а 75% уязвимы перед атакой BEAST.

Когда в Интернете вы работаете с конфиденциальной или финансовой информацией, не важно, это банковские данные или данные электронной почты, всегда важно быть уверенным, что браузер отображает для сайта установленный HTTPS для обеспечения безопасности и приватности информации. Хотя такая система также  может подвергаться угрозам. Из недавних отчетов стало известно, что 90% из 200,000 самых популярных сайтов, которые используют HTTPS также подвергаются атакам SSL (Secure Socket Layer), 75% сайтов подвергаются BEAST атаке. И, к сожалению, только 10% сайтов с поддержкой SSL находятся в безопасности.

Кроме того, сама система SSL постоянно подвергается угрозе. Но, через некоторое время после RSA конференции, стало известно, что некоммерческая организация Trustworthy Internet Movement (TIM) формирует рабочую группу для анализа системы работы SSL.

TIM начали реализовать их программу с SSL Pulse, которая основана на оценке и тестировании работы SSL Labs и данных о 200,000 сайтов, где установлен SSL, и эти сайты являются наиболее популярными в мире. “Проект SSL Pulse будет постоянно обновлять приборную панель, с помощью которой отслеживается эффективность работы SSL на миллионах популярных сайтов. SSL Pulse должен показывать нам состояние SSL и качество его работы.

Из 198,216 наиболее популярных сайтов были проанализированы все с установленным HTTPS; из результатов стало известно, что 75% (148,000) являются уязвимыми для BEAST атак, даже если сайт пользуется доверием или кажется безопасным. На практике, 90% (179,192) сайтов, где установлен SSL также подвергаются повреждениям. Эти данные вызывают беспокойство, ведь из 200,000 сайтов только 9,59% или 19,024 являются действительно безопасными. Кроме того, из блога TIM стало известно, что 99,903 (50%) сайтам все же удалось получить оценку от SSL Labs “многие из этих сайтов еще поддерживают программу небезопасного просмотра (только 8,522 сайтов или 8,5% являются хорошо настроенными), также сайты могут быть уязвимыми для BEAST атаки (только 72,357 сайтов или 72,4% могут иметь хороший уровень защиты).

Таким образом, был предложен вариант для разоблачения компаний, которые не поддерживают безопасность на своих сайтах. Эта проблема будет обсуждаться публично – отметил основатель TIM, Филип Кортот для BBC. “Теперь каждый сможет увидеть состояние защиты сайта. “Некоторые компании довольны этим введением, команда TIM также опубликовала гид-инструкцию SSL/TLS Deployment Best Practices с правилами для помощи администраторам и программистам в работе, что бы они могли тратить как можно меньше времени на анализ состояния сайта и уровня его защиты.”

Запуск автоматической системы проверки работы SSL и его реализации на сайтах является только первым шагом. Следующим будет сотрудничество TIM с правительствами и компаниями чтобы проверить качество работы сертификационных центров. Большинство людей чувствуют себя более безопасно, когда они видят замок в окне своего браузера, который якобы указывает на защищенное соединение для конфиденциальности связи как простой переписки, так и финансовых данных.

Также, это работает и против злоумышленников, которые получают поддельные цифровые сертификаты и используют у себя на сайте, который покажется безопасным для посетителя, хотя и находится под риском атаки man-in-the-middle (MITM).

Поддельные сертификаты ассоциируются с DigiNotar, на которую еще в недавнем времени производились хакерские атаки. Это объясняет то, что при работе в Интернете нужно соблюдать меры безопасности”. Microsoft, Google и Mozilla ввели запрет на центр сертификации DigiNotar и отменили любой доступ к всем сертификатам DigiNotar. И как следствие – в скором времени DigiNotar объявили себя банкротом.

Как и небезопасность SSL, так повреждение сертификационных центров являются большой проблемой Интернета, поэтому TIM является целевой группой безопасности SSL с компетентными экспертами, такими как Тахер Елджмал – один из создателей протокола SSL, Адам Лэнгли, инженер программного обеспечения Google, который ответственный за SSL в  Chrome и интерфейсные сервера компании; Мокси Марлинспайк, который описал проблемы работы SSL протокола. Марлинспайк также является разработчиком проекта Convergence, где предлагается альтернативный метод проверки SSL сертификатов; Майк Барретт, директор информационной безопасности компании PayPal; Иван Ристик, создатель Qualys SSL Labs; и Раян Херст создатель сертификационного центра GlobalSign. Пользователи могут ознакомиться с основными фигурами в SSL Pulse или ввести имя домена для проверки надежности и безопасности сайта.

Комментарии запрещены.