https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

憑證廠商該修補漏洞了 駭客釋出SSL攻擊工具

2011 / 10 / 31
張維君
憑證廠商該修補漏洞了 駭客釋出SSL攻擊工具

許多網友以為只要網站有SSL加密,網址前面是https就可以安心填入個資、安心購物。但實際上這樣的想法恐怕只對了一半。安全研究人員指出,過去3年來,SSL協定的安全疑慮一直未獲得解決。德國駭客團體The Hacker''s Choice為了讓憑證廠商正視此問題,日前釋出一個攻擊工具,利用SSL renegotiation的漏洞,不需要大量頻寬,只要一台筆電就可癱瘓一個https網站。

 

一直以來,憑證廠商往往告訴網站、消費者,要認明SSL憑證來保護線上交易資料的安全。但實際上他們對於研究人員所提出的SSL漏洞問題,卻不夠重視。早在2009年,就有研究人員發表SSL renegotiation存有漏洞,renegotiation是用於驗證瀏覽器與網站伺服器間的連線。而今透過這個攻擊工具,只要用一台筆電持續對網站發出安全連線請求,就可以快速耗掉伺服器資源,達到讓系統癱瘓的目的。

 

除此之外,研究人員對SSL憑證的安全性仍有相當質疑,包括2009SSL加密被破解,以及今年以來部分CA憑證公司遭入侵等。日前安全內容遞送網路(CDN)業者Akamai發表一份網際網路現狀報告,指出2009年以來SSL AES 128-SHA-1加密技術的使用已增加3倍,相對於RC4-MD5-128的使用減少將近2/3。因此,正當使用者、網站業者越來越重視線上交易安全,憑證廠商因盡速確保SSL加密技術如廣告行銷所言般值得信賴。