x-sec迎阅读2019 F5实验室TLS Telemetry 报告摘要。
今年,我们扩大了研究范围,为您提供了有关网络加密如何不断发展的更深刻的见解。我们将研究使用哪种密码和SSL / TLS版本来保护Internet顶级网站,并首次检查网络上数字证书的使用,并查看支持的协议(例如DNS)和应用程序层标头。
自我们发布2017年TLS Telemetry 报告以来,加密领域发生了很多事情。在过去的两年中,标准得到了更新,浏览器得到了发展,并且发布了许多新协议,旨在保护今天仍在广泛使用的所有其余明文协议。
同时,技术提供商与政府之间的全球辩论(也称为Crypto Wars 2.0)仍在继续。政府越来越多地尝试控制加密的使用方式,并且我们经常看到立法不完善(或故意含糊)的立法。
HTTPS无处不在?
Chrome是使用最广泛的网络浏览器,现在可以通过安全的HTTPS连接提取超过86%的网页。当访问Google属性(例如Gmail)时,基于Chrome操作系统的设备的这一数字接近100%。对于Firefox,HTTPS页面加载量稍低,但平均水平仍然达到令人印象深刻的80.5%。在Alexa排名前100万的站点中,近三分之一现在接受TLS 1.3连接。
2014年,接受HTTPS连接的98%的Web服务器仍允许使用SSL v3。2014年10月,当宣布POODLE漏洞时,这种情况迅速改变。
在2019年底,F5 Labs加入了GitHub Security Lab联盟,并且是我们新的TLS Telemetry报告的一部分。作为安全实验室联盟的一部分,我们要求GitHub帮助我们调查OpenSSL在开源应用程序中的使用。他们使用LGTM代码分析工具检查了9,435个开源项目中世界上最受欢迎的TLS库的使用情况。他们发现,只有不到1%的分析项目使用OpenSSL建议的方法来验证主机名。
我们还比较了恶意软件对更广泛网络的恶意使用,发现为恶意软件服务的域使用了合法的公共Web服务(例如博客平台和重定向器),恶意域上的有效证书以及隐藏真实身份的巧妙技巧的组合网站。曾经诱使受害者放弃其凭据的钓鱼网站甚至更糟。大多数使用HTTPS来隐藏流量并显得真实,并且许多站点都试图模仿通用金融机构或电子商务零售商。
加密标准在不断发展,因此保持最新的最佳做法至关重要。我们希望您发现《 2019年F5实验室TLS Telemetry 报告》的这份摘要对您有所帮助并具有启发性。
未经允许不得转载:x-sec » 2019 TLS Telemetry 报告(F5 lab)
