По данным Айвана Ристика, технического директора компании Qualys, более 25% из 1.2 миллиона веб-сайтов с SSL не прошли "безопасного пересогласования" (secure renegotiation). Ристик также обнаружил, что 35% из 300 000 ведущих сайтов из списка Alexa были уязвимы к данному виду атаки, которая попросту говоря пользуется пробелом в идентификационном процессе и позволяет злоумышленнику успешно провести атаку и внедрить свой собственный текст в зашифрованный сеанс SSL.
IETF объединился с Промышленным консорциумом по развитию средств Интернет-безопасности (Industry Consortium for the Advancement of Security on the Internet), а также несколькими ведущими ИТ-производителями, включая Google, Microsoft и PhoneFactor, и предложил для решения этой проблемы использовать протокол Transport Layer Security (TLS). Само исправление – спецификация к протоколу TLS - IETF выпустил в январе 2010.
"Парадоксально то, что уровень безопасности самых посещаемых сайтов ниже среднего", - Ристик прокомментировал статистику на конференции Infosec в Лондоне.
Он сообщил, что уязвимые сайты просто не стали устранять это слабое место. "Безопасное пересогласование можно получить автоматически, после исправления ошибки. Можно было также внедрить хотя бы временное решение - выключить пересогласование по клиентскому запросу - но они не сделали и этого".
Марш Рэй из компании PhoneFactor, впервые обнаруживший эту уязвимость, сообщает, что к сожалению когда дело доходит до устранения ошибками, мы часто имеем дело со стандартным шаблоном поведения. "Некоторые сайты устраняют уязвимость сразу при обнаружении, но на этом все внедрение заканчивается", - заявил Рэй.
"Мы сделали всё, что смогли. С помощью компаний-производителей мы сделали решение этой проблемы доступным. Мы можем привести лошадь к воде, но заставить её пить мы не в силах", - подчеркнул Рэй.
Вопрос безопасности SSL был в центре внимания некоторое время назад, сначала из-за действий специалиста по компьютерной безопасности Moxie Marlinspike, а потом из-за исследований Дэна Камински, который обнаружил критические ошибки в технологии цифровых сертификатов X.509, используемой в SSL.
"Я считаю, что у индивидуальных пользователей нет шанса существенно улучшить работу SSL. Я предлагаю сконцентрировать внимание на разработчиках библиотек, таких как OpenSSL, которые могут качественно их улучшить, и на компаниях-производителях ПО, которые смогут внедрить безопасные настройки по умолчанию", - сообщил Ристик.
В долгосрочной перспективе помогут и другие попытки обеспечения безопасной работы SSL. "Я уверен, что перспективный подход Google даст хорошие результаты. Они совершенствуют системы безопасности. Например их протокол SPDY на 100% зашифрован по умолчанию. Таким образом все эти люди, переходящие на SPDY, также получают дополнительную защиту", - заметил Ристик. "В итоге наши общие усилия, SPDY, DNSSEC, HSTS и более мелкие изменения в протоколах, скоро приведут к успешным результатам".
Xakep.ru