科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全只有0.1%的用户能正确处理Web服务器安全那点儿事

只有0.1%的用户能正确处理Web服务器安全那点儿事

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Netcraft公司指出,证书锁定是一种非常有效的作法。那么,为什么几乎很少有人使用?Netraft公司斥责全球各地的系统管理员忽略了HTTP公共密钥锁定(简称HPKP)机制。

来源:ZD至顶网安全频道 2016年3月28日

关键字: 安全证书 密钥管理 网络安全 Netcraft

  • 评论
  • 分享微博
  • 分享邮件

网络扫描设备供应商Netraft公司已经发布了“一项非常严厉的批评”,斥责全球各地的系统管理员忽略了HTTP公共密钥锁定(简称HPKP)机制。

这套锁定方案的设计目标在于帮助用户抵御伪造攻击,即攻击者利用伪造的证书颁发机构发布欺诈性证书。

如果攻击者能够为用户提供一套fubar.com的证书,他们即可伪造该站点,并构建一条路径以实现证书收集。

HPKP确实非常有效,但Netcraft方面强调称,其只有在系统管理员将其应用至服务器时才能发挥作用——但实际情况恰好相反。

“在Netcraft本月进行的2016年SSL调查中,只有不到0.1%的证书配备有HPKP标题头,”这篇文章指出,并补充称“即使得到部署,仍有三分之一的系统管理员未能正确设定HPKP策略。由于错误太多,HPKP的起效门槛变得很高。”

从数字角度来看,Netcraft公司表示只有3000套证书在使用HPKP共有4100个站点在使用HPKP标题头,但有四分之一在具体实施过程中发生了错误。

Netcraft公司指出,系统管理员避免使用该协议的最大理由在于,其虽然降低了用户风险,但使用HPKP却可能给企业带来风险。系统管理员需要为HPKP设定生命周期策略——如果站点运营人员丢失了证书密钥,那么其站点将在整个生命周期之内都无法进行访问。

目前成功搞定这项难题的三个安全包括:

  • Github采用HPKP,但将策略的生命周期设定为300秒。这就将GIthub出现问题后用户遭遇的中断时长降低到了最低水平——但攻击者仍然拥有5分钟的时间窗口。这样一旦遭遇攻击,“任何在过去五分钟内未能访问到真正www.github.com的用户都可能成为潜在受害者”。
  • Mozilla则面临着更高的风险:其站点的策略生命周期为15天——一旦出现问题,后果将非常严重。
  • Pixabay, Netcraft指出,面临的风险更为可观:策略生命周期长达1年,一旦失去专有密钥,其业务生命也将走向终点。不过就过往来看,“Pixabay显然认为强大的伪造攻击防护能力完全值得其冒如此大的风险。”
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章