Ошибки SSL-шифрования
Убедиться, что веб-сайт настроен и правильно работает — довольно трудоемкая работа, даже для самых опытных специалистов IT-безопасности. Одним из наиболее важных протоколов безопасности для сетевых операций является Secure Sockets Layer (SSL).
SSL — это основной криптографический протокол, который обеспечивает шифрование конфиденциальной информации во время онлайн-транзакций. Однако при неправильной конфигурации протокол SSL оказывается недействительным, что ставит под угрозу безопасность операций.
В ходе исследований, которые проводились на протяжении прошлого года, выяснилось, что из 120 миллионов зарегистрированных доменных имен у 70% имеются серьезные недостатки в обеспечении безопасности по протоколу SSL. Это показывает, что данному протоколу уделяется мало внимания в последние годы. Глядя на текущее состояние дел, мы можем узнать о типичных ошибках и вынести рекомендации о том, как лучше использовать SSL-протокол.
Валидность SSL-сертификата
Хотя SSL широко известен и признан одним из самых основных протоколов безопасности, как было сказано выше 30% сертификатов были признаны недействительными, а это примерно 36 млн. доменных имен. Для интернет-бизнеса нарушение безопасности может привести к серьезным последствиям. Как показывает практика, даже если предупреждение системы безопасности появиться на экране, чаще всего пользователь его просто проигнорирует.
При доступе к незащищенной сети, пользователь рискует подвергнуться потенциально опасным брешам в системе безопасности, что может негативно сказаться на репутации компании. В основном сертификаты не прошли валидацию, только потому что их срок истек, а ведь это так легко исправить.
Версия сертификата
Более половины проанализированных серверов используют устаревшую версию протокола SSLv2, которая была выпущена более 15 лет назад и, как известно, содержит много недостатков по безопасности. Хотя многие современные браузеры теперь не используют SSLv2, а вместо этого поддерживают более надежный SSLv3 или TLSv1 (Transport Layer Security).
Настройка SSL-протокола
Даже свежая версия SSL-протокола не обеспечивает полной защиты без правильной настройки. Большинство сайтов терпят неудачу на этапе конфигурации. Всего лишь 38% сайтов, использующих SSL, проанализированы и настроены правильно, а это значит что почти 2/3 остаются потенциально небезопасными. Как показывает практика, настройка протокола занимает около одного часа. Возникает резонный вопрос, чем в этих организациях занимаются менеджеры по безопасности?
На яркой стороне
Хотя есть и хорошие новости. Существуют веб-сайты с полностью надежной конфигурацией SSL-протокола, используя достаточно длинные ключи и сильные шифры. И это обнадеживает, поскольку это показывает, что правильно настроенный протокол может обеспечить высокий уровень безопасности.
Итак, выводы не утешающие. Многие сайты не предпринимают правильных шагов для обеспечения максимальной безопасности протоколов шифрования. Если компания использует неверные SSL-сертификаты, это может указывать на слабую защищенность, а также ставит под вопрос отношение в других областях безопасности.
Например, для защиты IP-видеорегистраторов от перебора паролей или считывания информации существуют специальные функции защиты, в том числе и SSL шифрование. Сейчас в продаже имеются регистраторы видеонаблюдения с активной защитой от перебора паролей и функциями безопасности, позволяющими избежать DDoS атаки. Как известно, DDoS атака в основном проводится через заполнение каналов данных большим количеством информации, а видеотрафик как нельзя кстати под это подходит.
