安全是有分量的

服务器防护_日本高防vps_超稳定

2022-01-13 04:40栏目:网络

服务器防护_日本高防vps_超稳定

热释光;博士大多数关于SSL的研究倾向于使用DNS域名检索的SSL信息。本文概述了从端口443上IPv4范围内的每个启用SSL的主机检索SSL信息时的SSLiverse。

借助当今最先进的扫描工具和适当的基础设施,现在可以在IPv4地址空间上处理来自Internet主机的感兴趣数据。本文的重点是支持SSL的主机信息。虽然大多数在Web上发现的研究倾向于考虑通过域名检索的SSL信息,但是本文中给出的数字提出了不同的观点。然而,在我揭示这些有趣的数字之前,请务必注意以下事项:

此数据来源的扫描是在2016年2月进行的(扫描是定期进行的)。信息是根据每个IPv4主机收集的。这意味着每个扫描的主机只检索到一个(默认)证书。只考虑了443端口。扫描其他端口的SSL信息(如465、993或其他)可能会暴露稍有不同的数据,并更准确地了解SSLiverse的状态。

现在这是清楚的,让我们深入研究数据,好吗?

我们的扫描能够成功地在端口443上建立SSL连接,linux系统ddos防御系统,主机略多于3300万台。一个有趣的事实是,检索到的证书中约有35%(约1180万)是自签名的!这个数字令人印象深刻。我怀疑这可能是因为扫描检索默认的回退证书,即尝试通过主机IP而不是其关联域名建立SSL连接时出现的证书。首先,人们通常受到自签名证书的诱惑,原因只有一个:他们是免费的!但这是他们唯一的优势。另一方面,提供自签名证书的网站将被现代浏览器阻止,并将客户端置于风险之中(您知道,浏览器使用自签名访问启用SSL的网站时显示的可怕警告消息是有原因的)。对于自签名证书,客户机无法保证服务器公钥确实属于他们正在访问的服务器。使用DNS欺骗等方法,坏人可以冒充客户认为他正在访问的网站。哦,顺便说一下,如果您正在阅读并使用自签名证书,请考虑让我们加密,因为它们提供免费的、真正的SSL证书。为了更大的利益!

总之,关于这些自签名证书,微信ddos防御算法,我们可以说些什么?

提供自签名证书的119K个主机(~0.01%)仍然容易受到Heartbleed(!)的攻击。对于99.9%的证书,使用的证书密钥算法是RSA。大多数密钥长度为1024位(68.7%),其次是2048位(28.6%)和…512位(1.5%)!约77%的用户使用RSA作为他们与SHA1的证书签名(!)作为散列算法,~12%使用MD5(!!)用SHA256约占10%。建立连接后使用的协议版本在约70%的成功协商中最终是TLSv1.0,其次是TLSv1.2(约26%)和SSLv3(约3.4%)。大约三分之一(约32%)的主机提供的证书在扫描时已经过期。最常见的证书有效期是一年(~35%),然后是…10年(!)(~31%),然后是20年(4.8%)和其他跨度。这些主机的管理员中有相当一部分估计它将运行相当长的时间,因为证书的有效期接近70年(~3.4%)。

作为提醒,SSLv3在2015年6月被弃用,不再被认为是安全的。您应该注意的另一个方面是,TLSv1.0包含一种机制,如果SSLv3可用,它允许降级到SSLv3的连接。据推测,有相当数量的宿主因此容易受到贵宾犬的攻击,尽管我没有数字来证实这一点。请注意,TLS的最新版本是1.2,这是目前建立安全连接的首选版本。

RSA今天仍然被认为是安全的,前提是密钥足够大(2048位或更多位是首选的,即使1024位RSA尚未中断,但768位RSA模的因式分解已于2010年完成)。记住:1.5%(约178K)的主机使用带有512位长密钥的RSA!

当涉及到用于证书签名的哈希算法时,这种情况也令人担忧。MD5是不安全的,可以被利用,这已经是众所周知的一段时间了。最近关于SHA-1(shapening)的消息,事情看起来并不明朗,因为只有约10%的主机使用SHA256哈希算法(尽管SHA-3的后继者已经存在,但它仍然被认为是安全的)!

我们还注意到,自签名证书的有效期往往很长。似乎生成自签名证书的人只想做一次就可以了…实际上,不建议这样做。例如,谁知道1024位RSA是否在未来10年内不会被破解?即使自签名证书是免费的,phpcc防御,因此可以设置较长的有效期,三分之一的主机仍然能够提供过期的证书。虽然这对自签名证书并不重要,但它仍然提供了一个关于这些主机的管理员如何关心其用户安全的想法。

所有这些都很有趣,但是对于没有提供自签名证书的约2140万台主机呢?让我们来看看!

80.3K(~0.004%)仍然容易心碎。与提供自签名证书的主机相比,Heartbleed易受攻击主机的总体比例大大降低。这其实是一个很好的观点。这里使用的证书密钥算法是RSA,用于99.7%的证书。毫不奇怪,这个比例与这里的自签名证书相似。然而,密钥长度分布要好得多:85.6%的用户使用2048位长的密钥,12.6%的用户使用1024位长的密钥。更好的是:1.69%的用户使用4096位长的密钥,而512位长的RSA密钥几乎消失了!约34%的用户使用RSA作为证书签名,SHA1作为哈希算法。再说一次,这里的比例大大降低了!那么,我们还使用了哪些散列算法呢?SHA256约占65%(这也是一个非常好的观点!)其中MD5约占1%(这是不好的,但这一比例大大降低)。关于成功协商后的协议版本,这里的数字也更好~67%的连接最终使用TLSv1.2、~28%的TLSv1.0和~5%的TLSv1.1。注意,这里SSLv3接近0,这是个好消息!OCSP装订在大约150万台主机上启用。超过一百万(约4.9%)的主机提交了过期证书。似乎,那些本身不签署SSL证书的管理员在这方面要负更多的责任。但是,这并不是很好,因为过期的证书意味着它的吊销状态无法检查,而且在这种情况下仍然有超过一百万台主机!最常见的有效期为1年(43%),其次为3年(16.3%)、2年(13.4%)和10年(8.2%)。很长的有效期几乎找不到,这将它与自签名证书的相关数字区分开来。