InfoSec 2012:新的在线仪表板可监控SSL质量

SSL脉冲可提高知名度并为网站所有者提供工具以改善其SSL实施

可信赖的互联网运动(Trustworthy Internet Movement)是一项非营利性计划,于2月成立,旨在帮助解决互联网上持续存在的安全问题,该公司宣布了其第一个项目-一个称为SSL Pulse的在线仪表板,该仪表板可监视整个网站对SSL支持的质量。

今天在Infosecurity Europe上发布, SSL脉冲 目前正在使用有效证书跟踪近200,000个网站,这些网站代表了Alexa前一百万个列表中的大多数SSL网站。 TIM表示,其中只有50%的学生获得A级成绩,其余的则可以进行改进。

任何人都可以使用SSL Pulse来检查网站是否具有安全的SSL功能,并查看性能最好和最差的网站的列表。

TIM创始人兼Qualys董事长兼首席执行官Philippe Courtot在会议上发表讲话时说,Pulse的想法不是要命名和羞辱不符合标准的组织,而是要提高认识并提供工具网站所有者可以改善其SSL实施。

Courtot说:“ SSL保证了安全性,但是如果管理不当,则会给用户一种错误的安全感。” “如果每个人都知道,没有任何借口;任何人都可以看到您的成绩,并且您可以在大约一分钟内访问地球上的任何网站。”

根据Pulse的最新数据,当前所有启用SSL的网站中只有10%是安全的。同时,有40%的用户支持弱密码或不安全的密码,只有8%的用户具有扩展验证证书。

Qualys的工程总监Ivan Ristic表示,一旦有了一些历史背景,这些数字将变得更加有意义。但是,他强调指出,仍有75%的网站仍在 容易受到BEAST攻击 -自2004年以来就广为人知。

Courtot拒绝了有关该平台有效地为黑客提供目录的建议,称该黑客已经拥有类似的工具来爬网网站和检测漏洞。他说,SSL支持不佳的组织“很幸运,他们尚未受到损害”,并补充说Pulse将帮助他们提高安全性。

品牌声誉的问题有些模糊,尽管考特特说有一个组织可以提出问题的论坛。

除了新平台外,TIM还宣布成立了一个由安全专家组成的工作组,以审查SSL治理已知问题,并提出旨在使SSL在互联网上普及的新建议。

工作组包括PayPal CISO迈克尔·巴雷特(Michael Barrett),SSL创作者Taher Elgamal,GlobalSign CTO瑞恩·赫斯特(Ryan Hurst),谷歌软件工程师亚当·兰利(Adam Langley),Whisper Systems创始人Moxie Marlinspike和Qualys的Ivan Ristic。

埃尔加马尔在发布会上说:“我每天和正在寻找灵丹妙药的人交谈,但是一个完美的安全解决方案的想法是愚蠢的,没有这样的事情。”

“ Pulse将提供给行业的数据将非常强大,并将为组织提供有关如何保护其基础结构的信息。”

有关:

版权© 2012 IDG通讯,Inc.