資訊專欄INFORMATION COLUMN
摘要:我使用所列出的前個網站作為數據源。發現總共有個網站開啟了,占總數的。對這個網站的調查密碼返回了每個目標服務器上所有支持的密碼。下表顯示了普遍被支持的密碼以及僅被一些網站所支持的密碼。最后一項最有趣,似乎的網站僅接受,而的網站僅接受。
目前看來評估不同的SSL/TLS配置已經逐漸成為了我的業余愛好。在10月份發表了Server?Side?TLS之后,我參與一些討論密碼性能、key的長短、橢圓曲線的安全等問題的次數都明顯增多了(比較諷刺的是,當初之所以寫“Server?Side?TLS”就是非常天真的希望減少我在這個話題上的討論次數)。
SSL/TLS服務器端的配置教程如今越來越多。其中很快就得到關注的一篇是Better?Crypto,我們曾經也在dev-tech-crpto郵件列表中討論了多次。
人們總是對這些話題非常有熱情(我也不例外)。但是有一個問題我們一直念念不忘,就是總想著盡快干掉那些被棄用的密碼,即便這意味著切斷了與一些用戶的連接。我是絕對反對這樣做的,并且始終堅信最好的做法是為所有用戶都維持向后兼容性,即使是以在我們的TLS服務器上保留RC4、3DES或是1024DHE?key為代價。
最近在dev-tech-crypto上有這樣一個問題:“我們是否可以在Firefox上將RC4完全移除?”。有人可能認為,因為Firefox支持所有其他的密碼(AES,?AES-GCM,?3DES,?Camelia…),我們當然可以在不影響用戶的前提下移除RC4。但是我們沒有實際的數據來證明這一點,所以也不能隨便作出這樣的決定。
接收挑戰:我將帶上我的武器cipherscan出來兜兜風,并打算掃描下互聯網。
掃描方法掃描腳本在GitHub上,數據結果在這里。未壓縮的數據有1.2GB之大,但是XZ難以置信的將其壓縮成了一個只有17MB大小的數據存檔。
我使用Alexa所列出的前1,000,000個網站作為數據源。使用“testtop1m.sh”腳本并行掃描目標,并通過節流來限制同時掃描的數量(設置為100),然后將結果寫入到“results”目錄。每個掃描目標的結果被存放在一個json文件中。另一個腳本名為“parse_results.py”,它會掃一遍“results”目錄并計算統計數據。非常基礎的東東。
我花了大概36個小時來運行整個掃描流程。發現總共有451470個網站開啟了TLS,占總數的45%。
雖然這不是一個全面的統計,但這一數據足以讓我們評價SSL/TLS在現實世界中的狀態。
對這451470個網站的SSL/TLS調查Cipherscan返回了每個目標服務器上所有支持的密碼。下表顯示了普遍被支持的密碼以及僅被一些網站所支持的密碼。最后一項最有趣,似乎1.23%的網站僅接受3DES,而1.56%的網站僅接受RC4。這對于那些正考慮放棄支持3DES和RC4的開發者來說是非常重要的數據。
值得注意的是:有兩個人不知出于什么原因僅僅只在他們的網站上開啟了Camellia。好吧先生們,我為你們舉杯。
對于那些不尋常的密碼,我為其添加了前綴“z”并放在列表底部,非常的顯眼。事實上從28%的網站明確支持DES-CBC-SHA這一點上可以看出更好的TLS文檔和培訓的必要性。
|
1
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。 轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/11111.html 相關文章
發表評論0條評論
U2FsdGVkX1x男|高級講師TA的文章閱讀更多
最新活動
閱讀需要支付1元查看
|
