来自 DDOS 2021-05-03 11:10 的文章

ddos防御工具_云防护如何解除_如何防

ddos防御工具_云防护如何解除_如何防

EV-SSL、SSL以及谁不使用它我最近好像一直在选EV-SSL。这不是故意的,我只是最近遇到了很多有问题的营销骗局,想谈谈。今天也一样。蒂姆·卡伦最近的博客文章让我开始思考。基本上,他引用了BlackHat披露的一些SSL攻击,并建议EV-SSL证书作为SSL MitM攻击和网络钓鱼的解决方案。一方面,我相信他的结论与他雇主的销售计划是一致的。另一方面,我承认EV-SSL可以提高门槛……如果它被广泛采用和部署的话。这就是症结所在。我之前在这个博客中谈到了EV-SSL的采用率(或缺乏)。NetCraft报告了其发现的100万个有效的、支持SSL的站点正在使用中(注:具有无效、自签名或过期的SSL证书的站点不包括在该计数中)。虽然我无法访问他们2009年1月的商业SSL调查报告,但我们从一些第三方提到的报告中推断,报告指出大约有10000个EV-SSL站点被发现。这比Verisign上个月提到的多了3000个,但也许Verisign只是报告了他们自己发布的内容。考虑到他们的市场份额(约75%,尽管这个数字是一年前的数字)与整个EV-SSL证书供应商的对比,这似乎是有道理的。在我看来,两年内只有10000个EV-SSL站点,对我来说是非常低的,尤其是对于那些本质上是已经被理解和接受的技术的增强衍生产品而言。人们已经知道什么是SSL以及SSL证书执行什么功能,所以这绝对不是阻碍。似乎并没有太大的采用势头,也许这是因为这些优质的EV-SSL证书提供的附加价值在网站所有者看来是值得怀疑的。但也许我看错了。只有10000个EV-SSL站点看起来有点低,但是如果它们是10000个站点呢?我想这会画出一幅不同的画。如果10000个大网站使用EV-SSL,我想这可能并不坏。所以我接受了这个理论。我手动浏览了Alexa全球500强站点列表的前50名,并记录了谁在使用EV-SSL、普通SSL和不使用SSL。他们的想法是,这些网站代表了全世界访问量最大的网站(根据Alexa的说法),因此,确保他们庞大的用户群用户的帐户和交易是安全的,这是一个既得利益。如果这些站点中的大多数都使用EV-SSL,那么这实际上将为整个web流量提供显著的EV-SSL渗透。我使用的过程很简单:访问Alexa列出的每一个站点(前50个站点),浏览查找"登录"或"注册"表单或其他同样敏感的HTTPS用法,然后观察我的Internet Explorer 7浏览器中的URL地址栏是否在使用SSL时变为绿色。绿色条表示EV-SSL;没有绿色条但仍有一个有效的锁图标是标准SSL。我发现只有两个地方(易趣网以及登录.live.com)正在使用EV-SSL。就这样。只有两个。所有其他站点都使用标准的SSL,除了10个根本不在登录表单中使用SSL的站点(youtube.com网站,防御ddos流量攻击,hi5.com,邮件.ru, photobucket.com网站, vkontakte.ru, imageshack.us公司, friendster.com网站, skyrock.com网站, 奥德诺克拉斯尼基.ru, 以及dailymotion.com网站)另外两个不会真正从用户那里接收敏感信息,因此不需要SSL(英国广播公司以及美国有线电视新闻网). 我们可以说那是一幅凄凉的画。50个顶级网站中有10个(20%)甚至不使用SSL进行登录。只有两个使用EV-SSL。看到这个网络零售巨头我有点惊讶,亚马逊网站,未使用EV-SSL。如果EV-SSL肯定会带来更好的客户信心和更多的在线零售转化率,我会认为他们会到处都是。如果投资回报率帮助了他们的底线,他们不会忽视技术优势…毕竟,他们是如何开始的。考虑到他们存储信用卡数据是为了方便快速购买,泄露别人的亚马逊账户有一定的经济价值;我很惊讶,到目前为止,它还没有成为更多网络钓鱼攻击的目标。同样令人惊讶的还有雅虎(登录yahoo.com),美国在线(我的.screenname.aol.com)和谷歌()所有的公共后端身份验证站点都使用标准的SSL。这些供应商提供多种不同的web服务,但都将其绑定到一个单一的身份验证机制,非常类似于单点登录(single Sign-On,SSO)平台。这些供应商不是OpenID提供商吗?这意味着单个帐户的成功仿冒可以跨多个站点/服务进行利用,甚至超出了这些供应商的范围。在微软的live.com网站网站上,我发现登录表单(来自登录.live.com,ddos防御洪水信息,在默认情况下通过HTTP呈现,但确实包含一个切换到HTTPS的链接)提交后确实会转到EV-SSL站点,但是注册页面(注册网站live.com)是用一个标准的SSL证书来处理的。也许他们只是想阻止新注册,同时确保现有帐户的安全登录。但这里有另一个想法:也许这些网站在EV-SSL流行之前就已经投资了标准的SSL证书,只是在等待它们当前的证书过期后再使用EV-SSL变体进行更新。这似乎有道理,但结果有点喜忧参半。谷歌在2008年5月更新了他们目前的标准SSL证书注册网站live.com于2008年11月续签。这是最近的事,而且肯定是在EV-SSL建立良好之后。对面是美国在线我的.screenname.aol.com证书是2007年3月颁发的,组建高防cdn,而雅虎的证书是2006年1月发布的;有争议的是,这些证书是在EV-SSL真正流行之前颁发的。所以很难说,但这种想法在某些情况下可能成立。当然不是别人。不过,也许我还是看错了。EV-SSL可能只对某些垂直行业有意义,比如网上银行网站。Alexa排行榜前50名中并没有真正的银行网站。所以我抽查了一些大银行网站的网址从我的头顶上拉出来。在我尝试的所有方法中,只有BankOfAmerica的登录站点(与正常站点分开)使用EV-SSL:网站:标准SSL(2008年12月更新)sitekey.bankofamerica.com网站:EV-SSL网站:标准SSL(2008年6月更新)在线.wellsfargo.com:标准SSL(2008年7月更新) 网站:标准SSL(2008年8月更新)chaseonline.chase.com:标准SSL(2008年4月更新)花旗银行网上银行:标准SSL(2007年12月更新):标准SSL(2008年7月更新)myonlineaccounts2。abbeynnational.co.uk:标准SSL(2009年2月更新**)最后一个非常有趣。阿比国家银行(Abbey National Bank)早在一年前就已经成为网络钓鱼的目标。然而,当他们上周(2009年2月12日)更新SSL证书时,他们使用的是标准证书,而不是EV-SSL。他们是否不知道或者不关心EV-SSL可以帮助用户抵御网络钓鱼,我不知道。但是,如果一家被钓鱼了一年多的银行在有机会的时候不决定购买EV-SSL……谁会呢?抛开营销上的失误不谈,这可能是EV-SSL有史以来实现的最佳应用。用户帐户可以访问货币工具。一年多以来,该网站一直是网络钓鱼的活跃目标。无论如何,他们需要新的SSL证书。这些原因中的任何一个本身都是EV-SSL的基础,他们有三个理由。哦,好吧,f5负载均衡防御cc攻击,也许他们会重新考虑EV-SSL在2010年的新证书到期。在那之前,自建高防cdn,-Jeff**Postscript:看起来Abbey National Bank的网站使用的SSL web服务器集群安装了不同的SSL证书。在某些情况下,我连接到一个服务器,该服务器为我提供了2009年2月12日颁发的SSL证书。在其他情况下,我会连接到一个服务器,该服务器会给我一个SSL证书,该证书将于2009年2月24日(即下周)到期。所以很显然,他们目前已经升级了一些服务器上的SSL证书,但不是全部。我只是想提一提,以防你在闲逛时注意到了这一点。以下是更新的SSL证书的屏幕截图,以证明我不是在胡编乱造:Zscaler_媒体_中心2_博客_发布_1-R1