摘要:我使用所列出的前個(gè)網(wǎng)站作為數(shù)據(jù)源。發(fā)現(xiàn)總共有個(gè)網(wǎng)站開啟了,占總數(shù)的。對(duì)這個(gè)網(wǎng)站的調(diào)查密碼返回了每個(gè)目標(biāo)服務(wù)器上所有支持的密碼。下表顯示了普遍被支持的密碼以及僅被一些網(wǎng)站所支持的密碼。最后一項(xiàng)最有趣,似乎的網(wǎng)站僅接受,而的網(wǎng)站僅接受。
目前看來(lái)評(píng)估不同的SSL/TLS配置已經(jīng)逐漸成為了我的業(yè)余愛好。在10月份發(fā)表了Server?Side?TLS之后,我參與一些討論密碼性能、key的長(zhǎng)短、橢圓曲線的安全等問題的次數(shù)都明顯增多了(比較諷刺的是,當(dāng)初之所以寫“Server?Side?TLS”就是非常天真的希望減少我在這個(gè)話題上的討論次數(shù))。
SSL/TLS服務(wù)器端的配置教程如今越來(lái)越多。其中很快就得到關(guān)注的一篇是Better?Crypto,我們?cè)?jīng)也在dev-tech-crpto郵件列表中討論了多次。
人們總是對(duì)這些話題非常有熱情(我也不例外)。但是有一個(gè)問題我們一直念念不忘,就是總想著盡快干掉那些被棄用的密碼,即便這意味著切斷了與一些用戶的連接。我是絕對(duì)反對(duì)這樣做的,并且始終堅(jiān)信最好的做法是為所有用戶都維持向后兼容性,即使是以在我們的TLS服務(wù)器上保留RC4、3DES或是1024DHE?key為代價(jià)。
最近在dev-tech-crypto上有這樣一個(gè)問題:“我們是否可以在Firefox上將RC4完全移除?”。有人可能認(rèn)為,因?yàn)镕irefox支持所有其他的密碼(AES,?AES-GCM,?3DES,?Camelia…),我們當(dāng)然可以在不影響用戶的前提下移除RC4。但是我們沒有實(shí)際的數(shù)據(jù)來(lái)證明這一點(diǎn),所以也不能隨便作出這樣的決定。
接收挑戰(zhàn):我將帶上我的武器cipherscan出來(lái)兜兜風(fēng),并打算掃描下互聯(lián)網(wǎng)。
掃描方法掃描腳本在GitHub上,數(shù)據(jù)結(jié)果在這里。未壓縮的數(shù)據(jù)有1.2GB之大,但是XZ難以置信的將其壓縮成了一個(gè)只有17MB大小的數(shù)據(jù)存檔。
我使用Alexa所列出的前1,000,000個(gè)網(wǎng)站作為數(shù)據(jù)源。使用“testtop1m.sh”腳本并行掃描目標(biāo),并通過節(jié)流來(lái)限制同時(shí)掃描的數(shù)量(設(shè)置為100),然后將結(jié)果寫入到“results”目錄。每個(gè)掃描目標(biāo)的結(jié)果被存放在一個(gè)json文件中。另一個(gè)腳本名為“parse_results.py”,它會(huì)掃一遍“results”目錄并計(jì)算統(tǒng)計(jì)數(shù)據(jù)。非常基礎(chǔ)的東東。
我花了大概36個(gè)小時(shí)來(lái)運(yùn)行整個(gè)掃描流程。發(fā)現(xiàn)總共有451470個(gè)網(wǎng)站開啟了TLS,占總數(shù)的45%。
雖然這不是一個(gè)全面的統(tǒng)計(jì),但這一數(shù)據(jù)足以讓我們?cè)u(píng)價(jià)SSL/TLS在現(xiàn)實(shí)世界中的狀態(tài)。
對(duì)這451470個(gè)網(wǎng)站的SSL/TLS調(diào)查Cipherscan返回了每個(gè)目標(biāo)服務(wù)器上所有支持的密碼。下表顯示了普遍被支持的密碼以及僅被一些網(wǎng)站所支持的密碼。最后一項(xiàng)最有趣,似乎1.23%的網(wǎng)站僅接受3DES,而1.56%的網(wǎng)站僅接受RC4。這對(duì)于那些正考慮放棄支持3DES和RC4的開發(fā)者來(lái)說是非常重要的數(shù)據(jù)。
值得注意的是:有兩個(gè)人不知出于什么原因僅僅只在他們的網(wǎng)站上開啟了Camellia。好吧先生們,我為你們舉杯。
對(duì)于那些不尋常的密碼,我為其添加了前綴“z”并放在列表底部,非常的顯眼。事實(shí)上從28%的網(wǎng)站明確支持DES-CBC-SHA這一點(diǎn)上可以看出更好的TLS文檔和培訓(xùn)的必要性。
1
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。 轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/11111.html 相關(guān)文章
發(fā)表評(píng)論0條評(píng)論U2FsdGVkX1x男|高級(jí)講師TA的文章閱讀更多
閱讀需要支付1元查看
|