Lajmet

Studimi mbi çertifikatat SSL: Pjesa më e madhe e uebfaqeve nuk kanë konfigurim korrekt

Nov 12 2013
0 Shpërndarje
Studimi mbi çertifikatat SSL: Pjesa më e madhe e uebfaqeve nuk kanë konfigurim korrekt

expired-govSecure Socket Layer (SSL) është një mekanizëm standard që përdoret nga uebfaqet për të ndihmuar sigurimin e të dhënave dhe transaksioneve, por sipas kërkuesi i sigurisë të kompanisë teknologjike Qualys Ivan Ristic , pjesa më e madhe e faqeve që përdorin SSL janë konfiguruar me gabime.

Ristic e ka prezantuar këtë studim në konferencën e sigurisë Black Hat, si një përditësim të të dhënave që ka publikuar muajin e kaluar.

Në studimin e fundit Ristic ka ekzaminuar 867 000 çertifikata SSL në të cilat emri i çertifikatës korrespondonte me emrin e domeinit. Ndërkohë në kërkimin e tij të mëparshëm u arrit në përfundimin se 97% e çertifikatave SSL nuk kanë emrin e duhur dhe nuk përputhen me domeinin përkatës.

Ndër ato çertifikata ku emri korrespondonte me emrin e domeinit vetëm 1/3 kishin konfigurim korrekt. Sipas përcaktimit të kërkuesit një konfigurim i saktë është ai që ka një çelës enkriptimi me 2048 bite ose më të fortë dhe që nuk ofron më suport për protokollin e vjetër SSLv2.

Përsa i përket arsyeve pse numri i uebfaqeve të konfiguruara ashtu si duhet është kaq i vogël, Ristic mendon se ka të bëjë me mungesë të informacionit dhe dokumentimit të përshtatshëm.

Pavarësisht se në ditët e sotme pjesa më e madhe e faqeve nuk janë konfiguruar ashtu si duhet, Ristic thekson se sipas këndvështrimit të tij SSL duhet të përdoret kudo në internet, rezultat që sigurisht nuk pritet të arrihet tani afër.

Sipas Ristic, ekzistojnë edhe disa çështje të tjera të SSL të cilat do të donte t’i eksploronte në vazhdimësi. Në lidhje me këtë ai është shprehur: “Në të ardhmen studimi do të jetë më i thellë.

Në këtë studim ne thjesht kemi ekzaminuar faqet kryesore të uebfaqeve. Në hapin tjetër ne do të analizojmë faqet më në thellësi për të parë nëse ekziston një përzierje e pjesëve të kriptuara dhe jo të kriptuara si dhe për të parë nëse të dhënat “cookie” apo “sessions” janë të sigurta ose jo.” (PCWorld Albanian)

Lajmet e fundit>