【IT168专稿】在互联网工程任务组(Internet Engineering Task Force ，IETF)发布修复SSL协议中存在的漏洞(主要影响服务器、浏览器、智能卡和VPN产品，以及很多低端设备，如摄像头等)的安全补丁的一年多后，仍然有四分之一的SSL网站没有安装这个补丁，这让这些网站很容易收到中间人攻击。

　　Qualys公司的工程主管Ivan Ristic近日对120万个启用SSL网站服务器进行了调查，其中发现超过25%的网站没有运行所谓的安全的renegotiation。Ristic还发现，在Alexa排名前100万的网站中的30万个网站中，有35%容易受到这种类型的攻击，这种攻击主要是利用了SSL认证过程中存在的问题，可以让攻击者发动中间人攻击，并将攻击者自己的文本注入到已加密的SSL会话中。这个问题主要存在于renegotiation过程中，有些应用程序要求对加密过程进行更新。

　　为了解决这个问题，互联网工程任务组联手促进互联网安全企业论坛以及一些供应商，例如谷歌、微软和PhoneFactor，发布SSL的修复补丁，也就是互联网工程任务组标准中的传输层安全(TLS)。这个修复补丁(传输层安全TLS Renegotiation Indication Extension)于2010年一月发布。

　　“令人感到意外的是，优异网站的安全状况比一般网站的还要差，”Ristic对调查结果表示。

　　Ristic表示，这些容易受到攻击的网站基本上没有修复这个漏洞。“在修复补丁后，才能够确保安全进行renegotiation，”他表示，“这些漏洞系统也可以部署其他解决方法，通过禁用客户端发起的renegotiation，但是他们也没有这样做。”

　　发现这个漏洞的PhoneFactor公司的Marsh Ray表示，这些数据说明了修复漏洞方面的场景安全状况，“有一定数量的网站会立即修复漏洞，然后修复后就没有采取任何行动了。”

　　Ray表示，“我们已经尽了全力，我们让供应商及时地提供修复补丁。你可以把马带到湖边，但是你不能命令它喝水。”

　　SSL安全问题一直受到广泛关注，首先是研究人员Moxie Marlinspike制造的中间人攻击，诱骗用户认为他正处于一个HTTPS会话中，而实际上他已经被攻击者重定向到其他位置。随之而来的是研究人员Dan Kaminsky的研究，他发现了SSL中使用的X.509数字证书技术存在的关键漏洞。

　　“我认为没有办法让个人用户大幅度改善SSL部署情况。存在太多问题，而且根本没有人在乎。我觉得我们应该将侧重于库开发人员(举例来说)OpenSSL，让他们移除过时的功能，并且让软件供应商确保默认情况下开启了必要的安全功能，”Ristic表示。

　　他表示，从长远来看，将需要其他方法来帮助确保SSL部署的安全。“从长远来看，谷歌使用的方法肯定会变得非常流行，他们正在通过改善性能来实现安全的改进。例如，他们的SPDY协议在默认情况下是100%加密的。所以，所有转移到SPDY获取更好性能的用户还将获得更好的安全，”Ristic指出，“总体来说，我们的共同努力，SPDY、DNSSEC、HSTS以及类似的较小的协议改进都将帮助我们实现更好的安全。”