所有SSL服務(wù)器中有一半以上運(yùn)行較舊的不安全版本的SSL，黑帽大會(huì)上詳細(xì)分析了針對(duì)HTTPS瀏覽器會(huì)話的攻擊。

關(guān)于SSL網(wǎng)站的好消息就是：大多數(shù)SSL網(wǎng)站都運(yùn)行著強(qiáng)盛的加密技巧。壞消息就是：超過(guò)60%的網(wǎng)站配置不當(dāng)。

Qualys公司的工程、網(wǎng)絡(luò)利用程序防火墻和SSL主管和兼研究人員Ivan Ristic頒布了他對(duì)1.2億注冊(cè)域名的研究成果。Ristic發(fā)明其中2000萬(wàn)注冊(cè)域名支撐SSL，而只有72萬(wàn)可能包含有效SSL證書(shū)，“這是非常小的比例，但是這并不真正意味著只有一小部分網(wǎng)站在應(yīng)用SSL，據(jù)我們所知，”Ristic表現(xiàn)。

更能闡明問(wèn)題的是，在所有SSL網(wǎng)站中，一半以上在應(yīng)用SSLv2，這是較舊版本的SSL，并且不安全。只有38%的SSL網(wǎng)站配置良好，而32%在協(xié)議中包含之前曝光的重新談判漏洞。

與此同時(shí)，研究人員Robert Hansen and Josh Sokol詳細(xì)闡明了針對(duì)瀏覽器的HTTPS/SSL的24種利用技巧，利用的是中間人攻擊。其中包含：cookie中毒和注入惡意內(nèi)容到瀏覽器標(biāo)簽。研究人員警告說(shuō)，HTTPS并不能保證瀏覽器的保密性和完整性。

“天并沒(méi)有塌下來(lái)，但是目前來(lái)說(shuō)，SSL是相當(dāng)脆弱的，”Hansen在黑帽大會(huì)中表現(xiàn)，“需要有適當(dāng)?shù)臉?biāo)簽隔離、cookie沙盒等�！彼�推薦應(yīng)用單獨(dú)的瀏覽器來(lái)訪問(wèn)包含敏感信息的網(wǎng)站。

同時(shí)，Ristic表現(xiàn)，雖然SSL網(wǎng)站的狀態(tài)在安全方面來(lái)說(shuō)很“一般”，不過(guò)現(xiàn)在SSL還很少被攻擊者攻擊�！拔艺J(rèn)為，SSL并不是現(xiàn)在常見(jiàn)的攻擊向量，因?yàn)檫�有更多更容易攻擊的對(duì)象，現(xiàn)在我們應(yīng)當(dāng)開(kāi)端修復(fù)SSL的問(wèn)題，這是可以修復(fù)的問(wèn)題�！�

三分之二的SSL網(wǎng)站應(yīng)用的是默認(rèn)設(shè)置，這使它們很容易受到攻擊，“為懂得決這個(gè)問(wèn)題，你應(yīng)當(dāng)進(jìn)步警惕，與最終用戶或者供給商交談，看看是否能實(shí)現(xiàn)更好的配置，這可能也是更可行的解決計(jì)劃，”Ristic表現(xiàn)。例如，對(duì)SSL服務(wù)器中不安全協(xié)議的默認(rèn)支撐就是一個(gè)常見(jiàn)錯(cuò)誤問(wèn)題。

“要配置好SSL服務(wù)器只需要花15分鐘，為證書(shū)選擇密鑰尺寸，禁用不安全協(xié)議，并禁用不安全密碼�！�

而不安全的SSLv2很容易受到中間人攻擊，雖然該版本SSL在大多數(shù)主流瀏覽器中已經(jīng)禁用，但仍然運(yùn)行很多SSL網(wǎng)站，“最可悲的就是，超過(guò)一半SSL網(wǎng)站支撐SSL2，幾年來(lái)，我們一直知道這是不安全的�！�

他發(fā)明，而在SSL網(wǎng)站，反而很少或者不支撐較安全的TLS1.1和1.2協(xié)議。

但調(diào)查發(fā)明，大多數(shù)SSL網(wǎng)站都應(yīng)用了強(qiáng)盛的加密技巧，128位甚至更高。整體而言，Ristic表現(xiàn)，只有38.4%的SSL網(wǎng)站在安全和配置方面能夠得到A，而只有61.46%可以得到B或者更低分。Ristic打算頒布此次調(diào)查的所有數(shù)據(jù)，并且打算每年進(jìn)行一次調(diào)查。