Venafi: интернет стал не безопаснее, чем полгода назад

Пн 4 Июль 2022 12:06

Исследование показывает, что хотя в некоторых областях был достигнут прогресс, необходимо больше учиться, чтобы обеспечить наиболее эффективное использование машинных идентификаторов для защиты онлайн-мира:

За последние шесть месяцев использование TLSv1.2 сократилось на 13%, а v1.3 используется почти на 50% сайтов. Переход на версию 1.3 обусловлен широкомасштабной цифровой трансформацией, инициативами, миграцией в облако и новыми облачными стеками, в которых по умолчанию используется версия 1.3.

Несмотря на то, что организации внедряют более надежные протоколы TLS, им не удается совместить это с переходом на более надежные ключи для идентификации компьютеров TLS.

Стандартные для отрасли ключи ECDSA сейчас используют всего 17% веб-сайтов - по сравнению с 14% шесть месяцев назад. Более медленные и менее безопасные ключи RSA по-прежнему используются 39% из миллиона крупнейших сайтов.

Рост внедрения HTTPS остановился на отметке 72% - на том же уровне, что и в декабре.

«Тот факт, что компании развертывают TLS v1.3 с машинными идентификаторами, использующими ключи RSA, показывает, что в области управления машинными идентификаторами еще многое предстоит сделать. Сильный алгоритм мало что значит, если он используется в сочетании со слабым ключом — это все равно, что построить каменную крепость, но оставить деревянные ворота незащищенными", - объяснил Скотт Хельме, исследователь безопасности и основатель Report URI.

Сервис Let's Encrypt по-прежнему является центром сертификации (ЦС), который выбирают миллион крупнейших пользователей. Однако также растет популярность Cloudflare. Видимо, благодаря этому росту и происходит внедрение TLS v1.3: 50% веб-сайтов, использующих v1.3, делают это через Cloudflare. Также продолжается сокращение использования сертификатов расширенной проверки (Extended Validation, EV): за последние шесть месяцев их использование сократилось на 16% после изменений, внесенных производителями браузеров, которые резко снизили ценность сертификатов EV для владельцев веб-сайтов.

Как свидетельствуют данные отчета, организации предпринимают все больше шагов по управлению своей машинной средой идентификации. Начиная с декабря, на 13% увеличилось количество сайтов, использующих авторизацию центра сертификации (CAA). Это дает возможность компаниям создавать список одобренных центров сертификации, которые могут использоваться в их организациях. Принятие такого контроля является положительным знаком для компаний, осознающих важность машинных идентификаторов в общей безопасности и проявляющих повышенную бдительность в способах управления ими.

"Недавний бум миграции в облака означает, что каждому предприятию требуется гораздо больше машинных идентификаторов TLS для защиты связи между устройствами, облаками, программным обеспечением, контейнерами и API", - отметил Кевин Бочек, вице-президент по стратегии безопасности и анализу угроз компании Venafi. "Использование CAA все большим количеством компаний является положительным признаком того, что компании начинают осознавать необходимость управления идентификацией машин. Использование CAA также подчеркивает острую необходимость в плоскости управления идентификацией машин, которая может автоматизировать использование идентификационных данных машин во все более сложных облачных средах".

Управление идентификацией машин — это процесс управления и организации удостоверений — цифровых сертификатов и ключей — машин — устройств, рабочих нагрузок, приложений, контейнеров, IoT и т.д .

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 261 день 16 часов 47 минут 10 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.