探索中国CIO人才现状 | 第四季调研报告
只有0.1%的用户能正确处理Web服务器安全那点儿事
2016-03-31  来源:e行网

网络扫描设备供应商Netraft公司已经发布了“一项非常严厉的批评”,斥责全球各地的系统管理员忽略了HTTP公共密钥锁定(简称HPKP)机制。

这套锁定方案的设计目标在于帮助用户抵御伪造攻击,即攻击者利用伪造的证书颁发机构发布欺诈性证书。

如果攻击者能够为用户提供一套fubar.com的证书,他们即可伪造该站点,并构建一条路径以实现证书收集。

HPKP确实非常有效,但Netcraft方面强调称,其只有在系统管理员将其应用至服务器时才能发挥作用——但实际情况恰好相反。

“在Netcraft本月进行的2016年SSL调查中,只有不到0.1%的证书配备有HPKP标题头,”这篇文章指出,并补充称“即使得到部署,仍有三分之一的系统管理员未能正确设定HPKP策略。由于错误太多,HPKP的起效门槛变得很高。”

从数字角度来看,Netcraft公司表示只有3000套证书在使用HPKP共有4100个站点在使用HPKP标题头,但有四分之一在具体实施过程中发生了错误。

Netcraft公司指出,系统管理员避免使用该协议的最大理由在于,其虽然降低了用户风险,但使用HPKP却可能给企业带来风险。系统管理员需要为HPKP设定生命周期策略——如果站点运营人员丢失了证书密钥,那么其站点将在整个生命周期之内都无法进行访问。

目前成功搞定这项难题的三个安全包括:

Github采用HPKP,但将策略的生命周期设定为300秒。这就将GIthub出现问题后用户遭遇的中断时长降低到了最低水平——但攻击者仍然拥有5分钟的时间窗口。这样一旦遭遇攻击,“任何在过去五分钟内未能访问到真正www.github.com的用户都可能成为潜在受害者”。

Mozilla则面临着更高的风险:其站点的策略生命周期为15天——一旦出现问题,后果将非常严重。

Pixabay, Netcraft指出,面临的风险更为可观:策略生命周期长达1年,一旦失去专有密钥,其业务生命也将走向终点。不过就过往来看,“Pixabay显然认为强大的伪造攻击防护能力完全值得其冒如此大的风险。”