2019 TLS Telemetry 报告（F5 lab）

迎阅读2019 F5实验室TLS Telemetry 报告摘要。

今年，我们扩大了研究范围，为您提供了有关网络加密如何不断发展的更深刻的见解。我们将研究使用哪种密码和SSL / TLS版本来保护Internet顶级网站，并首次检查网络上数字证书的使用，并查看支持的协议（例如DNS）和应用程序层标头。

自我们发布2017年TLS Telemetry 报告以来，加密领域发生了很多事情。在过去的两年中，标准得到了更新，浏览器得到了发展，并且发布了许多新协议，旨在保护今天仍在广泛使用的所有其余明文协议。

同时，技术提供商与政府之间的全球辩论（也称为Crypto Wars 2.0）仍在继续。政府越来越多地尝试控制加密的使用方式，并且我们经常看到立法不完善（或故意含糊）的立法。

HTTPS无处不在？

Chrome是使用最广泛的网络浏览器，现在可以通过安全的HTTPS连接提取超过86％的网页。当访问Google属性（例如Gmail）时，基于Chrome操作系统的设备的这一数字接近100％。对于Firefox，HTTPS页面加载量稍低，但平均水平仍然达到令人印象深刻的80.5％。在Alexa排名前100万的站点中，近三分之一现在接受TLS 1.3连接。

2014年，接受HTTPS连接的98％的Web服务器仍允许使用SSL v3。2014年10月，当宣布POODLE漏洞时，这种情况迅速改变。

在2019年底，F5 Labs加入了GitHub Security Lab联盟，并且是我们新的TLS Telemetry报告的一部分。作为安全实验室联盟的一部分，我们要求GitHub帮助我们调查OpenSSL在开源应用程序中的使用。他们使用LGTM代码分析工具检查了9,435个开源项目中世界上最受欢迎的TLS库的使用情况。他们发现，只有不到1％的分析项目使用OpenSSL建议的方法来验证主机名。

我们还比较了恶意软件对更广泛网络的恶意使用，发现为恶意软件服务的域使用了合法的公共Web服务（例如博客平台和重定向器），恶意域上的有效证书以及隐藏真实身份的巧妙技巧的组合网站。曾经诱使受害者放弃其凭据的钓鱼网站甚至更糟。大多数使用HTTPS来隐藏流量并显得真实，并且许多站点都试图模仿通用金融机构或电子商务零售商。