猫头鹰
信安舆情早知道

35%的网站仍然使用不安全的SHA-1证书

根据Venafi调查报告,全球35%的网站仍在使用不安全的SHA-1证书。事实上,全球领先的浏览器供应商,如微软,Mozilla和谷歌曾公开表示他们将从2017年年初起不再信任使用SHA-1的网站。截止2017年2月,Chrome,Firefox和Edge,将对那些仍然依使用依赖SHA-1不安全算法算法的证书的网站进行标记。

sha-1-error

浏览器 厂商推行这项计划对的结果是,中断用户访问“不安全”网站时各种网络操作:

  • 浏览器会向用户显示该网站不安全的警告,提示用户查找其它网站。
  • 浏览器不会在HTTPS事务的地址行上显示“绿色挂锁”,用户依靠此图标作为在线交易是安全的和私人的指示。
  • 网站可能会遇到性能问题;,在某些情况下,对网站的访问可能被完全阻止。

如果网站需要继续使用SHA-1证书,对用户体验造成严重影,。他们还可能长期受到的排名下降。

Venafi云解决方案产品经理Walter Goulet评论说:“我们的分析结果清楚地表明,最流行的网站都做好SHA-1证书迁移工作,而互联网世界大部分依赖于这些网站。根据Netcraft的公司2016年9月的Web服务器调查中,互联网上超过1.73亿个活跃网站。从我们的研究结果推断,多达6100万的网站可能仍然在使用SHA-1证书“。

数字证书用于导出用户和网站之间的流量所需的加密密钥材料, 私人和安全通信和事务需要加密。 数字证书还会验证用户所连接的网站是否合法。 所有Web浏览器都使用证书来确定在线事务期间是否是可信任的。 这对于包含敏感数据(如电子商务和网上银行)的交易尤其重要。

然而,许多网站证书使用的SHA-1加密算法较弱并且可以容易地操纵。 例如,SHA-1证书容易受到冲突攻击,它允许网络犯罪分子伪造证书和对TLS连接执行中间人攻击。 SHA-2算法解决了这些问题,但Venafi实验室的研究表明,许多公司仍然没有进行此更新而使自身安全漏洞,合规和中断等问题,而这些可能会影响网站的安全性,可用性和可靠性。

【来源:helpnetsecurity

转载请注明来自MottoIN,未经允许不得转载!MottoIN » 35%的网站仍然使用不安全的SHA-1证书

分享到:更多 ()

评论 抢沙发

评论前必须登录!

 

MottoIN 换一个角度看安全

寻求报道联系我们