及时打补丁维护网站安全容易

据互联工程任务组(Internet Engineering Task Force ，IETF)发布的修复SSL协议指出目前存在的漏洞(主要影响服务器、浏览器、智能卡和VPN产品，以及很多低端设备，如摄像头等)的安全补丁的一年多后，仍然有四分之一的SSL站没有安装这个补丁，这让这些站很容易收到中间人攻击。

Qualys公司的工程主管Ivan Ristic近日对120万个启用SSL站服务器进行了调查，其中发现超过25%的站没有运行所谓的安全的renegotiation。Ristic还发现，在Alexa排名前100万的站中的30万个站中，有35%容易受到这种类型的攻击，这种攻击主要是利用了SSL认证过程中存在的问题，可以让攻击者发动中间人攻击，并将攻击者自己的文本注入到已加密的SSL会话中。这个问题主要存在于renegotiation过程中，有些应用程序要求对加密过程进行更新。

为了解决这个问题，互联工程任务组联手促进互联安全企业论坛以及一些供应商，例如谷歌、微软和PhoneFactor，发布SSL的修复补丁，也就是互联工程任务组标准中的传输层安全(TLS)。这个修复补丁(传输层安全TLS Renegotiation Indication Extension)于2010年一月发布。

奥巴马政府并没有强烈地表示“不同意” 令人感到意外的是，顶级站的安全状况比一般站的还要差，Ristic对调查结果表示。

Ristic表示，这些容易受到攻击的站基本上没有修复这个漏洞。在修复补丁后，才能够确保安全进行renegotiation，他表示，这些漏洞系统也可以部署其他解决方法，通过禁用客户端发起的renegotiation，但是他们也没有这样做。

发现这个漏洞的PhoneFactor公司的Marsh Ray表示，这些数据说明了修复漏洞方面的场景安全状况，有一定数量的站会立即修复漏洞，然后修复后就没有采取任何行动了。

Ray表示，我们已经尽了全力，我们让供应商及时地提供修复补丁。你可以把马带到湖边，但是你不能命令它喝水。

SSL安全问题一直受到广泛关注，首先是研究人员Moxie Marlinspike制造的中间人攻击，诱骗用户认为他正处于一个HTTPS会话中，而实际上他已经被攻击者重定向到其他位置。随之而来的是研究人员Dan Kaminsky的研究，他发现了SSL中使用的X.509数字证书技术存在的关键漏洞。

我认为没有办法让个人用户大幅度改善SSL部署情况。存在太多问题，而且根本没有人在乎。我觉得我们应该将侧重于库开发人员(举例来说)OpenSSL，让他们移除过时的功能，并且让软件供应商确保默认情况下开启了必要的安全功能，Ristic表示。

他表示，从长远来看，将需要其他方法来帮助确保SSL部署的安全。从长远来看，谷歌使用的方法肯定会变得非常流行，他们正在通过改善性能来实现安全的改进。例如，他们的SPDY协议在默认情况下是100%加密的。所以，所有转移到SPDY获取更好性能的用户还将获得更好的安全，Ristic指出，总体来说，我们的共同努力，SPDY、DNSSEC、HSTS以及类似的较小的协议改进都将帮助我们实现更好的安全。