image

Meeste HTTPS-websites kwetsbaar voor hackers

vrijdag 27 april 2012, 11:12 door Redactie, 6 reacties

Negentig procent van de 200.000 populairste HTTPS-websites op het internet zijn kwetsbaar voor verschillende SSL-aanvallen, aldus onderzoek van de Trustworthy Internet Movement (TIM). Voor het onderzoek werden de websites automatisch gescand en de implementatie van de SSL-certificaten gecontroleerd. Het ging dan om ondersteunde protocollen, sleutellengte en gebruikte ciphers. Aan de hand van een algoritme werd er een score voor elke HTTPS-configuratie berekend.

Bijna de helft van de 200.000 websites die volgens Alexa tot de populairste miljoen sites op het web behoren en HTTPS ondersteunen, scoorden een ruime voldoende voor hun configuratie. Toch bleek dat slechts 10% echt veilig is. 75%, zo'n 148.000, bleek kwetsbaar voor de BEAST-aanval, waarbij een aanvaller HTTPS-sessies kan kapen.

De aanval is in versie 1.1 van het Transport Layer Security (TLS) protocol en in verschillende browsers verhelpen, maar veel servers blijven oudere, kwetsbare protocollen ondersteunen. Die servers zijn kwetsbare voor zogeheten SSL downgrade-aanvallen. Daarnaast blijkt dat slechts 1.697 van de 198.216 sites HTTP Strict Transport Security ondersteunen. Dat zorgt ervoor dat websites die via HTTPS te bezoeken zijn, ook alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd.

Instellingen
"Hoewel het tegenwoordig mogelijk is om SSL op een juiste manier uit te rollen, is het proces lastig, aangezien de standaard instellingen verkeerd zijn, de documentatie ontbreekt en diagnostische tools ontoereikend zijn", aldus Ivan Ristic van beveiligingsbedrijf Qualys en oprichter van het SSL Labs.

"Daarom kunnen we niet zeggen dat het web al veilig is, maar we hopen dat dit ooit zal gebeuren", zo laat hij in deze blogposting weten, waar Ristic de resultaten van het onderzoek bespreekt.

Reacties (6)
27-04-2012, 11:43 door SirDice
Meeste HTTP-websites kwetsbaar voor hackers

Negentig procent van de 200.000 populairste HTTPS-websites op het internet zijn kwetsbaar voor verschillende SSL-aanvallen, aldus onderzoek van de Trustworthy Internet Movement (TIM).

?

[admin] Bedankt, het moest inderdaad HTTPS zijn. Titel is aangepast [/admin]
27-04-2012, 12:11 door Anoniem
"Negentig procent van de 200.000 populairste HTTPS-websites op het internet zijn kwetsbaar voor verschillende SSL-aanvallen
Volgens mij geven ze aan dat 90% van de websites (uberhaubt) kwetsbaar zijn. Dat is iets anders als "90% is kwetsbaar voor een SSL aanval".
27-04-2012, 12:13 door [Account Verwijderd]
[Verwijderd]
27-04-2012, 12:38 door spatieman
ik heb nog nooit een website gezien die met FTP begint (behalve als het om een FTP connectie gaat)
27-04-2012, 13:56 door Ed Dekker
AU! Heeft de redactie een dagje vrij?
27-04-2012, 15:10 door Anoniem
Dit is dan weer jammer...

https://www.ssllabs.com/ssltest/analyze.html?d=secure.security.nl
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.