Плохая реализация SSL ставит многие сайты под угрозу
17.12.2008
Неправильное применение шифрования Secure Sockets Layer может привести к компрометации целого ряда сетевых ресурсов. Такие выводы содержатся в докладе, выпустить который планируется ближе к концу месяца.
Родни Тэйер, эксперт компании Canola & Jones, работает над докладом, касающимся уязвимостей в SSL. Он будет опубликован в ходе хакерской конференции Chaos Communication Camp (CCC). Конференция состоится в Берлине в конце декабря.
Тэйер задокументировал 31 случай неправильной реализации SSL на крупнейших веб-сайтах и в данный момент занимается их изучением совместно с другими специалистами, после чего планирует уведомить владельцев соответствующих ресурсов об обнаруженных им недоработках. Наиболее часто встречающимися ошибками, по мнению Тэйера, являются использование просроченных сертификатов безопасности или устаревших технологий, таких как SSL 2 или 40-битный RC-4.
Обращаясь к конечным пользователям, аналитик говорит, что не все SSL-соединения полностью безопасны. Он призывает их не игнорировать всплывающие предупреждения, которые могут высвечиваться браузером. Тэйер советует проверять работоспособность SSL до того как устанавливать соединение и начинать передачу конфиденциальной информации.
