F5 實驗室 2021 年 TLS 遙測報告的關鍵要點

本研究中的大部分數據來自我們對Tranco 前 1M 列表中列出的最受歡迎站點的Cryptonice掃描,該列表對100 萬個熱門域進行了排名。我們還查看 OpenPhish 報告的網路釣魚站點,並使用 Shape Security 捕獲的客戶端(瀏覽器)數據補充我們的發現,以清楚瞭解最常用的瀏覽器和機器人。訪問F5 實驗室瞭解更多詳情。

網路上的加密狀態是前進兩步後退一步的情況。與我們 2020 年初的上一份報告相比,2021 年 TLS 遙測報告 顯示Web 加密在幾個方面有所改進。傳輸層安全性 (TLS) 1.3 的採用已經增加,它簡化了大量以前可用的密碼套件,並使一些已經過時的密碼套件移除。

同時,由於 HTTPS 和密碼套件協商的靈活性,許多領域的停滯或倒退正在破壞一些進展。SSL 3(TLS 的前身)不會消亡,一半的 Web 服務器允許使用不安全的 RSA 密鑰交換,證書吊銷是有問題的,而且舊的、很少更新的服務器隨處可見。

當然,為惡意目的使用或濫用網路加密的可能性仍然存在。攻擊者已經學會了如何在網路釣魚活動中利用TLS的優勢,全世界的政府都在尋求顛覆加密技術以獲得利益,而指紋識別技術引起了人們對網路上前100萬網站中惡意軟體伺服器的普遍性的質疑。

繼續閱讀有關 TLS 加密世界中哪些方面的優點、哪些方面存在問題以及哪些方面的缺點的詳細統計數據。


好的

更快、更安全的 TLS 1.3 正在取得進展,證書更新週期正在下降,高級加密和散列演算法的使用正在增加。

首次,TLS 1.3是所選擇的加密協議對大多數的網路服務器上的Tranco 1M列表。近 63% 的服務器現在更喜歡 TLS 1.3,超過 95% 的活躍瀏覽器也是如此。

加拿大和美國遙遙領先,加拿大服務器在近 80% 的情況下更喜歡 TLS 1.3,而美國僅超過 75%。

超過 100 萬個站點的每個 TLS 連接中,超過四分之三使用 AES(具有 256 位密鑰)和 SHA-2 散列演算法(具有384 位輸出大小)。

TLS 1.3 消除了使用安全性較低的 RSA 密鑰交換的風險,因為它只允許 ECDHE 密鑰協議。因此,使用橢圓曲線數字簽名演算法 (ECDSA) 的 ECC 證書一直在增加。超過 24% 的頂級站點使用 256 位 ECDSA 證書,而大約 1% 使用384 位 ECDSA 證書。

2020 年 9 月,新頒發的證書的最長有效期顯著下降,從三年縮短到僅 398 天。極短期證書的趨勢也在不斷增長,因為單個最常見的生命週期為 90 天,佔所有證書的 38%。


不太好

太多站點繼續支持舊的加密協議和 RSA 證書。

從 2019 年(佔網站的 1.8%)到 2021 年(3.5%),DNS CAA 記錄的流行率有所增長。這顯示了積極而穩定的增長,但也表明很少有網站仍在使用它們。

與流量少得多的服務器相比,排名前 100 的站點更有可能仍然支持 SSL 3、TLS 1.0 和 TLS 1.1。

2% 的網站仍然啟用了 SSL 3,這代表了從網路上刪除它的一些進展,但在我們的書中還不夠。

如果客戶端支持,52% 的服務器仍然允許使用不安全的 RSA 密鑰交換。

在我們掃描的 100 萬個站點中,0.3% 使用帶有 1024 位密鑰的 RSA 證書,自 2013 年以來,可信賴的 CA 不再提供這些證書。

70% 使用 1024 位證書的站點運行 Apache,22% 運行 Apache 2.0。由於 Apache 2.0 於 2002 年發布,最後一次修補是在 2013 年,這強烈表明許多 Web 服務器只配置一次,只有在更新 cert 時才會再次配置。

證書吊銷方法幾乎完全被打破,促使整個 CA 和瀏覽器行業越來越渴望轉向極短期的證書。


不好

網路釣魚非常猖獗,而且不會很快消失。

使用帶有有效證書的 HTTPS 向受害者展示更合法的網路釣魚網站的數量從 2019 年的 70% 增長到近 83%。大約80% 的惡意站點僅來自 3.8% 的託管服務提供商。

在服務提供商方面,網路釣魚者傾向於稍微偏愛 Fastly,Unified Layer、Cloudflare 和 Namecheap 緊隨其後。

Facebook 和 Microsoft Outlook/Office 365 是網路釣魚攻擊中最常被欺騙的品牌。從這些站點竊取的憑據具有很大價值,部分原因是許多其他帳戶傾向於依賴這些作為身份提供者 (IdP) 或密碼重置功能。

網路郵件平臺佔模擬網路功能的 10.4%,幾乎與 Facebook 一樣高。這意味著針對網路郵件的網路釣魚攻擊與針對Facebook 帳戶的攻擊一樣普遍。


繼續的工作

很明顯,進入 2022 年,我們面臨著兩個重要的現實。一是攔截、規避和削弱加密的願望從未如此強烈;國家和網路犯罪分子正在努力解決強加密給他們帶來的問題,尋找創造性的方法在加密之前或之後攔截或捕獲資訊。另一個是最大的弱點不是來自我們努力採用的最新功能,而是我們不願意禁用的舊功能。在這兩個問題都得到解決之前,優先使用支持協議,例如 DNS CAA 和 HSTS,以確保 HTTPS 強度的不會被網路犯罪分子利用。

單擊此處查看或下載完整的 2021 年 TLS 遙測報告。


關於研究

本研究中的大部分數據來自我們對Tranco 前 1M 列表中列出的最受歡迎站點的Cryptonice掃描,該列表對100 萬個熱門域進行了排名。我們還查看 OpenPhish 報告的網路釣魚站點,並使用 Shape Security 捕獲的客戶端(瀏覽器)數據補充我們的發現,以清楚瞭解最常用的瀏覽器和機器人。訪問F5 實驗室瞭解更多詳情。



作者:DAVID WARBURTON