技术分享:中国百分之76的HTTPS站点形同虚设(by 光网烈火网络安全部)

时间:2017-4-24 作者:光网烈火编辑部 分类: 技术

据光网烈火网络安全部统计,中国百分之90的HTTPS站点形同虚设,存在各种SSL协议上的漏洞。我们希望:通过使用HTTPS带来的安全改善、HTTPS证书有效性、HTTPS安全部署、HTTPS漏洞等多个角度,推进中国互联网网站提升HTTPS安全,避免被浏览器HTTPS危险、不安全提示和访问拦截。

问题统计

中国百分之76的HTTPS站点形同虚设
HTTPS站点问题统计

存在问题

一、证书名与域名不匹配,浏览器发出不安全警告。

二、使用不安全的证书签名算法

2009年SHA1算法被谷歌成功破解,SHA1从此不再安全。

三、证书链顺序校验不正确

以nginx引擎为例,证书公钥正确的证书链顺序应该为:当前域名公钥 -> 中间公钥 -> CA 根公钥。否则会引起部分安卓、苹果等移动设备访问网站出现证书不完整警告。[配置案例]

四、使用不安全的SSL/TLS版本

SSL 2.0 于1994年11月发布,有严重的弱点,被认为是失败的协议。

SSL 3.0 于1995年12月发布,存在POODLE攻击漏洞。[详细信息]

TLS 1.0 于1999年1月发布,存在BEAST攻击(TLS1.0及更早版本的可预见的初始化向量漏洞)漏洞。

上面这些协议版本存在严重安全问题,绝对不能使用。

五、OpenSSL心脏出血漏洞

发现时间:2014年4月;漏洞等级:高危;危害:OpenSSL的代码中没有对读长度进行检查,攻击者可以利用这个缺陷,在一个心跳请求中获取到服务器进程中最大为64KB的数据。通过发出多个这样的请求,攻击这就可以无限制地获取内存数据。服务器的进程中必然存在敏感信息:例如会话票证的密钥、TLS的会话密钥以及各类密码,攻击者就可以得到这些信息。SSL安全实验室检测。[严谨标准]

六、OpenSSL CCS注入漏洞

发现时间:2014年6月 漏洞等级:高危;危害:该漏洞使得攻击者可以拦截恶意中间节点加密和解密数据,同时迫使使用弱密钥的SSL客户端暴露在恶意节点。

七、协议降级漏洞

等级:高危;危害:攻击者作为中间人迫使TLS握手使用一个低等级的协议或者使用低强度的密码套件,目前浏览器为了兼容性都支持自愿协议降级,它们会首先使用其支持的最高TLS版本尝试连接,如果首次连接失败,则降低协议版本直到连接建立,这一兼容性措施使得攻击者可以利用不安全的低版本协议漏洞进行攻击。

八、不安全重新协商漏洞

发现时间:2009年8月;漏洞等级:高危;危害:重新协商漏洞在于新旧TLS连接之间没有连续性,即使这两个连接发生在同一个TCP连接上。也就是说,服务器并不会验证新旧两条TLS连接的另外一端是同一个。当重新协商发生在HTTP请求中时,上层应用不会得到通知。攻击者通过中间人攻击,攻击数据和正常访问端数据会被服务器合并处理,从而使得攻击成功。

信息统计:北京光网烈火科技部

最后编辑:雷雨;2017年4月24日17:56:07

代码效验:W3C XHTML1.1 Transitional Pass;编辑部:张承芳;2017年4月24日18:00:02

网站通过XHTML1.1严谨校验 网站通过CSS3.0严谨校验 网站通过CSS3.0严谨校验

神来一句