Negentig procent van de 200.000 populairste HTTPS-websites op het internet zijn kwetsbaar voor verschillende SSL-aanvallen, aldus onderzoek van de Trustworthy Internet Movement (TIM). Voor het onderzoek werden de websites automatisch gescand en de implementatie van de SSL-certificaten gecontroleerd. Het ging dan om ondersteunde protocollen, sleutellengte en gebruikte ciphers. Aan de hand van een algoritme werd er een score voor elke HTTPS-configuratie berekend.

Bijna de helft van de 200.000 websites die volgens Alexa tot de populairste miljoen sites op het web behoren en HTTPS ondersteunen, scoorden een ruime voldoende voor hun configuratie. Toch bleek dat slechts 10% echt veilig is. 75%, zo'n 148.000, bleek kwetsbaar voor de BEAST-aanval, waarbij een aanvaller HTTPS-sessies kan kapen.

De aanval is in versie 1.1 van het Transport Layer Security (TLS) protocol en in verschillende browsers verhelpen, maar veel servers blijven oudere, kwetsbare protocollen ondersteunen. Die servers zijn kwetsbare voor zogeheten SSL downgrade-aanvallen. Daarnaast blijkt dat slechts 1.697 van de 198.216 sites HTTP Strict Transport Security ondersteunen. Dat zorgt ervoor dat websites die via HTTPS te bezoeken zijn, ook alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd.

Instellingen
"Hoewel het tegenwoordig mogelijk is om SSL op een juiste manier uit te rollen, is het proces lastig, aangezien de standaard instellingen verkeerd zijn, de documentatie ontbreekt en diagnostische tools ontoereikend zijn", aldus Ivan Ristic van beveiligingsbedrijf Qualys en oprichter van het SSL Labs.

"Daarom kunnen we niet zeggen dat het web al veilig is, maar we hopen dat dit ooit zal gebeuren", zo laat hij in deze blogposting weten, waar Ristic de resultaten van het onderzoek bespreekt.