2019 TLS Telemetry 报告(F5 lab)

迎阅读2019 F5实验室TLS Telemetry 报告摘要。

今年,我们扩大了研究范围,为您提供了有关网络加密如何不断发展的更深刻的见解。我们将研究使用哪种密码和SSL / TLS版本来保护Internet顶级网站,并首次检查网络上数字证书的使用,并查看支持的协议(例如DNS)和应用程序层标头。

自我们发布2017年TLS Telemetry 报告以来,加密领域发生了很多事情。在过去的两年中,标准得到了更新,浏览器得到了发展,并且发布了许多新协议,旨在保护今天仍在广泛使用的所有其余明文协议。

同时,技术提供商与政府之间的全球辩论(也称为Crypto Wars 2.0)仍在继续。政府越来越多地尝试控制加密的使用方式,并且我们经常看到立法不完善(或故意含糊)的立法。

HTTPS无处不在?

Chrome是使用最广泛的网络浏览器,现在可以通过安全的HTTPS连接提取超过86%的网页。当访问Google属性(例如Gmail)时,基于Chrome操作系统的设备的这一数字接近100%。对于Firefox,HTTPS页面加载量稍低,但平均水平仍然达到令人印象深刻的80.5%。在Alexa排名前100万的站点中,近三分之一现在接受TLS 1.3连接。

2014年,接受HTTPS连接的98%的Web服务器仍允许使用SSL v3。2014年10月,当宣布POODLE漏洞时,这种情况迅速改变。

在2019年底,F5 Labs加入了GitHub Security Lab联盟,并且是我们新的TLS Telemetry报告的一部分。作为安全实验室联盟的一部分,我们要求GitHub帮助我们调查OpenSSL在开源应用程序中的使用。他们使用LGTM代码分析工具检查了9,435个开源项目中世界上最受欢迎的TLS库的使用情况。他们发现,只有不到1%的分析项目使用OpenSSL建议的方法来验证主机名。

我们还比较了恶意软件对更广泛网络的恶意使用,发现为恶意软件服务的域使用了合法的公共Web服务(例如博客平台和重定向器),恶意域上的有效证书以及隐藏真实身份的巧妙技巧的组合网站。曾经诱使受害者放弃其凭据的钓鱼网站甚至更糟。大多数使用HTTPS来隐藏流量并显得真实,并且许多站点都试图模仿通用金融机构或电子商务零售商。

加密标准在不断发展,因此保持最新的最佳做法至关重要。我们希望您发现《 2019年F5实验室TLS Telemetry 报告》的这份摘要对您有所帮助并具有启发性。

0 0 vote
Article Rating

未经允许不得转载:x-sec » 2019 TLS Telemetry 报告(F5 lab)

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x