安全性互联网的安全性如何?

Executive Summary

互联网变得更加安全:加密页面请求的数量在 2016 年 10 月首次超过未加密页面请求的数量。但是,加密通信量的爆炸性增长导致出现了众多其他安全问题。

Executive Summary

互联网变得更加安全:加密页面请求的数量在 2016 年 10 月首次超过未加密页面请求的数量。但是,加密通信量的爆炸性增长导致出现了众多其他安全问题。

Related

为云保驾护航:不可不知的重要事项

2016 年 10 月,人类跨越了一个重要的里程碑。Mozilla 和 Chrome 遥测显示,加密的页面请求数量超过了未加密的页面请求数量。这是人类历史上第一次大部分网络都进行了加密(至少在传输过程中)。其他指标也表明,互联网正变得越来越安全。近三分之二的互联网主机更喜欢使用最新版本的 SSL/TLS 协议,对正向加密的在线数据从之前的三分之一增加到了三分之二。[1]

这算是个好消息吗?

考虑到这些趋势,互联网的安全性似乎有所提高。然而,加密流量的爆炸式增长导致了许多其他的安全问题,其中最大的问题之一就是自签名 SSL/TLS 证书。TLS 的一个基本原则是,公共密钥应由可信的第三方签名。若没有这一签名,客户无法确保他们与其进行通信的网站就是他们心目中设想的网站。然而,20% 的终止 TLS 的互联网主机只提供一个公共密钥由相关私人密钥签名的证书,这使得用户几乎无法验证证书的真实性。[2]

在最新的 OWASP 十大安全隐患名单中,不安全的会话管理已上升到第二名。

此外,如果您的用户很快被转移到别处,没有看到您网站的证书,那么您网站的加密安全性就不重要。在最新的 OWASP 十大安全隐患名单中,不安全的会话管理已上升到第二名。好消息是,HTTP 严格传输安全 (HSTS) 可以防止攻击者劫持 SSL/TLS 会话。坏消息是,只有不到 2% 的网站使用它。

此外,许多知名网站都采用广告收入模式,即创作吸引眼球的内容,同时显示付费的网络广告。那么我们告诉您一个小秘密,大多数广告网络甚至都不支持 TLS。由于广告网络迟迟不支持 TLS,基于广告的网站无法采用全加密模式,这使得大部分此类的网络处于风险之中。

打造一个更安全的网络环境

在最新的 TLS 遥测报告中,研究人员扫描了整个 TLS 网络,以分析当前的加密环境。他们确定了一些比较简单的步骤,例如放弃自签名的证书,您可以用这些步骤来重新获得对数据的控制。请考虑下面的建议,以保护您的组织远离隐藏在无限加密流量中的危害。

取消自签名证书

使用自签名证书还不如根本没有证书。2016 年,免费开源证书机构 Let’s Encrypt 成立,该机构致力于推动 TLS 在网络中的广泛采用。Let’s Encrypt 支持托管提供商为其所有网站提供免费证书,这将允许全球各地的组织机构开始用真正的证书替换所有这些自签名证书。

支持 TLS 1.2

约有 40% 的互联网主机不能支持最新版本的 TLS 协议。[3] 每个主机都应该支持 TLS 1.2,并且不再支持安全性较低的早期版本。

支持证书透明度

证书颁发机构 (CA) 行业非常复杂,数百个 CA 可以为互联网上的任何 DNS 条目颁发证书。证书透明度 (CT) 项目是一个由 Google 赞助并集成到 Chrome 浏览器的最新项目,为阴暗模糊的证书管理世界带来了一些光明。CT 日志允许浏览器检测流氓证书,并可以警告合法证书所有者提防骗子。

实施严格的传输安全策略

所有新网站都应采用 HSTS,并对非 HSTS 站点进行年度分析。检查所有子域,以确保它们已准备好支持 HTTPS。对于那些没有准备好的子域,请考虑从 Application Delivery Controller 部署快速修复 TLS 代理。

开启 OCSP 装订 (OCSP stapling)

在线证书状态协议 (OCSP) 允许浏览器使用安全证书供应商来验证站点的完整性。然而,这个额外的通信层会增加加载时间。通过在您的网站上启用 OCSP 装订,Web 服务器可以下载供应商答复的副本,并将其直接发送到浏览器。

虽然这并不是一份内容详尽的列表,但是安全管理员和 DevSecOps 团队可以由此入手,通过紧密合作继续提高互联网的安全水平。

[1] 2016 TLS 遥测报告,2017 年 1 月 19 日。https://f5.com/labs/articles/threat-intelligence/ssl-tls/the-2016-tls-telemetry-report-24674
[2] 同上。
[3] 同上。

您可能还会喜欢