Úvodní stránka » Bezpečnost » Analýza: 86 % webů s SSL nemá dokonalé zabezpečení

Dle analýzy nemá 86 % webů s SSL certifikátem dokonalé zabezpečení

Celých 86 % webů využívajících SSL certifikát neposkytuje dokonalé zabezpečení. V důsledku toho tyto weby neposkytují návštěvníkům maximální možné zabezpečení a mohou dokonce ohrozit bezpečnost návštěvníka, který se může stát terčem útoku.

86 % webů využívajících SSL certifikát neposkytuje dokonalé zabezpečení

Cílem pravidelně publikované bezpečnostní analýzy SSL Pulse společnosti Qualys jsou nejnavštěvovanější weby, které využívají SSL certifikát. Celkově bylo otestováno necelých 180 tisíc webů a přesto, že většina z nich používá důvěryhodný certifikát se správnou hloubkou klíče, bylo zjištěno mnoho nedostatků.

Samotným nainstalováním důvěryhodného certifikátu práce na zabezpečení webu nekončí. Důležitá je i správná konfigurace serveru, šifrování a dalších parametrů SSL spojení. Správnou konfigurací serveru využívajícího SSL certifikát lze aktivně zamezit nejčastějším útokům na SSL protokoly, jako BEAST nebo CRIME.

Otestujte si zabezpečení vlastní domény

V následujícím serverovém testu si můžete ověřit, zda-li i vy máte rezervy v použití SSL certifikátu a zda-li ho využíváte na maximum.

Zadejte název domény pro test SSL zabezpečení:

 

Našli jste v SSL zabezpečení slabinu? Níže naleznete nejčastější problémy a jejich řešení.

Útoky BEAST a CRIME

Až 71 % testovaných webů je zranitelných BEAST útokem, který je sice ošetřen v aktuálních prohlížečích, ale je vhodné útoku zabránit konfigurací serveru, což se bohužel příliš neděje. V případě útoku CRIME je situace lepší, ale 41 % ohrožených serverů je znepokojivé číslo.

Útok BEAST využívá chybu v SSL 3.0 (i TLS v1), která umožňuje útočníkovi získat a dešifrovat HTTPS cookie  uživatele prohlížeče a získat celou zabezpečenou relaci s HTTPS serverem. Ochranou proti tomuto útoku je použití vyšší verze protokolu TLS a aktualizovaný prohlížeč návštěvníka. Z pohledu kompatibility prohlížečů však není možné použít pouze protokol TLS 1.1 a TLS 1.2, jelikož podpora těchto protokolů je zatím slabá.

Útok CRIME je zaměřený na zranitelnost komprese TLS protokolu, kterou má zapnutou 40 % testovaných serverů.

Doporučujeme bránit server proti BEAST útoku použitím šifrovacího algoritmu RC4; na serveru tento algoritmus použijte s nejvyšší prioritou. Hrozba CRIME útoku je ze stany serveru zcela eliminovaná pouze vypnutím komprese TLS.

Použité SSL/TLS protokoly

V současnosti můžete s webovým serverem komunikovat pěti používanými protokoly. Nejpoužívanější jsou SSL v3 a TLS 1.0, které podporují všechny testované servery.

Zastaralý a z pohledu bezpečnosti nedostačující protokol SSL v2 používá stále téměř 30 % testovaných serverů. Pokud sami podporujete tento protokol, můžete ho již přestat používat, protože na zajištění kompatibility se staršími prohlížeči (IE 6 a Windows XP) stačí novější protokol SSL v3. Druhá verze skutečně není bezpečná a jako nejstarší SSL protokol odborníci doporučují použít SSL v3.

Novější protokol TLS, který SSL v3 nahradil, je nyní dostupný ve třech verzích. Nejnovější TLS 1.2 bohužel podporuje pouze Internet Explorer 9 (10), proto je třeba na serveru používat i starší protokoly. TLS 1.1 je použitelný pro většinu novějších prohlížečů vyjma Firefoxu, který používá starší NSS šifrovací knihovny a zatím ho nepodporuje. Tyto dvě novější verze podporuje pouze 6, resp. 7 % testovaných serverů a jejich masivní použití je otázkou budoucnosti.

Z pohledu kompatibility je tedy jistotou nejčastěji používaný protokol TLS 1.0, u kterého jsou sice známy bezpečnostní slabiny, ale jeho použití není rizikové a podporuje ho většina prohlížečů. Útoky na tento protokol vyřešili tvůrci prohlížečů v rámci svého softwaru, takže s aktualizovaným prohlížečem budete v bezpečí.

Doporučujeme použití TLS v1.0 certifikátu a vyšších. Pokud potřebujete podporovat i Internet Explorer 6, ponechte zapnuté SSL v3.

Hloubka klíčů

Aktuálním bezpečnostním standardem je certifikát (klíče) o bitové hloubce 2048 bitů. Tuto bitovou hloubku používá přes 86 % serverů. S nižší bitovou hloubkou již certifikační autority (z rodiny Symantec) certifikát nevystaví.

Pokud používáte nižší bitovou hloubku, stejně jako 12 % testovaných serverů, měli byste během následujících let určitě provést upgrade, jelikož 2048b klíče budou standardem ještě několik dalších let.

Vyšší bitová hloubka certifikátu a použitých klíčů je bezpečnější, ale není zatím nutná; navíc může ovlivnit zátěž serveru při šifrování. Klíče s bitovou hloubkou 4096 bitů a vyšší používají pouze 2 % serverů, které můžeme hledat v prostředích s nejvyšší mírou zabezpečení (tajné služby, vládní organizace a podobně).

Doporučujeme použití klíčů s bitovou hloubkou 2048 bitů. Pokud máte certifikát s nižší bitovou hloubkou (1024b), zajistíme vám přegenerování certifikátu zdarma na aktuálně používanou bitovou hloubku 2048.

Certifikáty s rozšířeným ověřením 

Pouze 8 % z testovaných webů používá EV certifikát s rozšířeným ověřením, který zaručuje maximální důvěryhodnost provozovatele. EV certifikát již není pouze výsadou bank a finančních institucí, ale je dostupný všem provozovatelům webových stránek; je však zřejmé, že zatím není příliš rozšířený u běžných webových projektů.

Certifikát s rozšířeným ověřením použijte pro projekty z finanční oblasti a projekty shromažďující zvlášť citlivé informace (detaily platebních karet).

Protokol SPDY

Nově vytvořený SPDY protokol používá pouze 2,4 % testovaných serverů. Tento protokol vyvinutý Googlem obohacuje starý HTTP protokol o nové vlastnosti, které moderní weby využívají. Popis nových vlastností tohoto protokolu naleznete například v článku na Root.cz.

Špatná instalace certifikátu

Bohužel celých 7 % z testovaných serverů nemá SSL certifikát nainstalovaný včetně tzv. Intermediate certifikátů, což způsobuje jeho nedůvěryhodnost pro návstěvníky a otravné varování v jejich prohlížečích.

Nedůvěryhodný certiikát

Intermediate certifikát slouží ke spojení důvěryhodnosti vašeho serverového certifikátu s tzv. Root certifikátem autority, který je distribuován do systémů návštěvníků a zajisťuje automatickou důvěryhodnost certifikátů dané autority.

Pokud se i váš server potýká s tímto problémem, neváhejte nás kontaktovat a pomůžeme vám problém snadno vyřešit ke spokojenosti vaší, i vašich návštěvníků.

Rádi vám pomůžeme i s vaším serverem

Některé z výše uvedených postupů jsme aplikovali na desítky webových serverů projektu CZECHIA.COM.

Pokud máte zájem zvyšit bezpečnost i vašeho serveru s SSL certifikátem, neváhejte nás kontaktovat. Rádi s vámi probereme aktuální bezpečnostní standardy a doporučíme případné úpravy v nastavení serveru.

Bc. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Přidat komentář

Zvýrazněné položky jsou povinné.

Přehled komentářů

  1. Datum (bob, 13.1.2013 19:27:20) Odpovědět

    Nesnáším články, které nemají v záhlaví či patičce uveden datum publikování :-(

  2. Re: Datum (Admin, 3.4.2013 18:13:14) Odpovědět

    Dobrý den. Děkujeme za Váš názor. Datum je vždy zobrazeno na homepage u každého článku. Nicméně nyní řešíme i jeho vložení do všech článků na našem blogu.


Rubriky

  • Aktuality
  • Novinky ze SSLmarketu
  • Bezpečnost
  • Zajímavosti o SSL
  • Návody k SSL
  • Týden v bezpečnosti
  • Podepisování kódu (Code Signing)
  • Speciály

  • Jak šifrovaně tunelovat s OpenVPN
  • Dvoufaktorová autentizace
  • Spojte se s námi

  • RSS kanál SSL blogu
  • SSLmarket na Facebooku
  • SSLmarket na Twitteru
  • SSLmarket na Google+
  • Kontakt
  • SSL market