BLOG

Wichtige Erkenntnisse aus dem TLS-Telemetriebericht 2021 von F5 Labs

David Warburton Miniaturbild
David Warburton
Veröffentlicht am 20. Oktober 2021

Beim Stand der Verschlüsselung im Web geht es darum, zwei Schritte vorwärts und einen zurück zu machen. Im Vergleich zu unserem letzten Report von Anfang 2020 zeigt der TLS Telemetry Report 2021, dass sich die Webverschlüsselung in mehreren Punkten verbessert hat. Die Verbreitung von Transportation Layer Security (TLS) 1.3 hat zugenommen. Dadurch wurde die große Vielfalt der zuvor verfügbaren Verschlüsselungssammlungen vereinfacht und einige, die ihre besten Zeiten zweifellos hinter sich hatten, überflüssig gemacht.

Gleichzeitig werden aufgrund der flexiblen Natur von HTTPS und der Aushandlung von Verschlüsselungssammlungen Stagnation oder Rückschritte in vielen Bereichen gemacht, die einen Teil des Fortschritts zunichte machen. SSL 3 (der Vorgänger von TLS) will einfach nicht sterben, die Hälfte aller Webserver lässt die Verwendung unsicherer RSA-Schlüsselaustausche zu, der Widerruf von Zertifikaten ist bestenfalls problematisch und alte, selten aktualisierte Server sind überall sichtbar.

Natürlich besteht weiterhin die Möglichkeit, Web-Verschlüsselung für böswillige Zwecke zu verwenden oder zu missbrauchen. Angreifer haben gelernt, wie sie TLS in Phishing-Kampagnen zu ihrem Vorteil nutzen können. Regierungen auf der ganzen Welt versuchen, die Verschlüsselung zu ihrem Vorteil zu unterlaufen, und Fingerprinting-Techniken werfen Fragen zur Verbreitung von Malware-Servern auf den 1 Million wichtigsten Websites im Internet auf.

Lesen Sie weiter, um detaillierte Statistiken zu den guten, problematischen und schlechten Aspekten der TLS-Verschlüsselung zu erhalten.

Das Gute

Das schnellere und sicherere TLS 1.3 setzt sich durch, die Lebensdauer der Zertifikate sinkt und die Verwendung fortschrittlicher Verschlüsselungs- und Hashing-Algorithmen nimmt zu.

  • Zum ersten Mal war TLS 1.3 das Verschlüsselungsprotokoll der Wahl auf der Mehrheit der Webserver auf der Tranco 1M-Liste . Fast 63 % der Server bevorzugen mittlerweile TLS 1.3, ebenso wie über 95 % aller aktiv genutzten Browser.
  • Kanada und die Vereinigten Staaten liegen deutlich vorn: Die kanadischen Server bevorzugen in fast 80 % der Fälle TLS 1.3, die US-Server knapp über 75 % der Zeit.
  • Mehr als drei Viertel aller TLS-Verbindungen auf den Top 1 Million Sites verwenden AES (mit einem 256-Bit-Schlüssel) und den SHA-2-Hashing-Algorithmus (mit einer 384-Bit-Ausgabegröße).
  • TLS 1.3 beseitigt das Risiko der Verwendung des weniger sicheren RSA-Schlüsselaustauschs, da es nur ECDHE-Schlüsselvereinbarungen zulässt. Infolgedessen hat die Zahl der ECC-Zertifikate, die den elliptischen Kurvenalgorithmus für digitale Signaturen (ECDSA) verwenden, zugenommen. Knapp mehr als 24 % der Top-Sites verwenden 256-Bit-ECDSA-Zertifikate, während etwa 1 % 384-Bit-ECDSA-Zertifikate verwenden.
  • Die maximale Laufzeit neu ausgestellter Zertifikate sank im September 2020 deutlich von drei Jahren auf nur noch 398 Tage. Es gibt auch einen wachsenden Trend hin zu Zertifikaten mit extrem kurzer Laufzeit, da die häufigste Laufzeit 90 Tage betrug und 38 % aller Zertifikate davon ausmachten.

Das nicht so Gute

Zu viele Websites unterstützen weiterhin ältere kryptografische Protokolle und RSA-Zertifikate.

  • Die Verbreitung von DNS-CAA-Einträgen nahm von 2019 (1,8 % der Websites) bis 2021 (3,5 %) zu. Dies stellt einen positiven und stetigen Anstieg dar, zeigt aber auch, wie wenige Websites sie noch verwenden.
  • Die Top-100-Sites unterstützten mit größerer Wahrscheinlichkeit noch SSL 3, TLS 1.0 und TLS 1.1 als Server mit deutlich weniger Datenverkehr.
  • Auf 2 % der Websites ist SSL 3 immer noch aktiviert. Dies ist zwar ein gewisser Fortschritt bei der Entfernung aus dem Web, unserer Ansicht nach jedoch nicht ausreichend.
  • 52 % der Server erlauben weiterhin die Verwendung unsicherer RSA-Schlüsselaustausche, wenn dies alles ist, was der Client unterstützt.
  • Von den 1 Million von uns gescannten Websites verwendeten 0,3 % RSA-Zertifikate mit 1024-Bit-Schlüsseln, die seit 2013 bei vertrauenswürdigen Zertifizierungsstellen nicht mehr erhältlich sind.
  • 70 % der Sites, die 1024-Bit-Zertifikate verwenden, führen Apache aus, und 22 % verwenden Apache 2.0. Da Apache 2.0 im Jahr 2002 veröffentlicht und das letzte Mal im Jahr 2013 gepatcht wurde, deutet dies stark darauf hin, dass viele Webserver einmal konfiguriert und erst dann erneut angerührt werden, wenn es Zeit ist, das Zertifikat zu erneuern .
  • Die Methoden zum Widerruf von Zertifikaten funktionieren fast vollständig nicht mehr, was in der Zertifizierungsstellen- und Browserbranche zu einem wachsenden Wunsch führt, auf Zertifikate mit extrem kurzer Laufzeit umzusteigen.

Das einfach nur Schlechte

Phishing ist auf dem Vormarsch und wird nicht so schnell verschwinden.

  • Die Zahl der Phishing-Sites, die HTTPS mit gültigen Zertifikaten verwenden, um ihren Opfern legitimer zu erscheinen, stieg von 70 % im Jahr 2019 auf fast 83 %. Etwa 80 % der bösartigen Websites stammen von nur 3,8 % der Hosting-Anbieter.
  • Bei den Dienstanbietern tendierten die Phisher leicht zu Fastly, dicht gefolgt von Unified Layer, Cloudflare und Namecheap.
  • Facebook und Microsoft Outlook/Office 365 waren die Marken, die bei Phishing-Angriffen am häufigsten gefälscht wurden. Gestohlene Anmeldeinformationen von diesen Sites sind sehr wertvoll, unter anderem, weil so viele andere Konten dazu neigen, auf diese als Identitätsanbieter (IdP) oder Funktion zum Zurücksetzen des Passworts zu angewiesen zu sein.
  • 10,4 % der nachgeahmten Webfunktionen entfielen auf Webmail-Plattformen, fast so viel wie auf Facebook. Dies bedeutet, dass Phishing-Angriffe gegen Webmail ebenso häufig sind wie gegen Facebook-Konten.

Die Arbeit geht weiter

Es ist klar, dass wir auf dem Weg ins Jahr 2022 mit zwei wichtigen Realitäten konfrontiert sind. Zum einen ist der Wunsch, Verschlüsselung abzufangen, zu umgehen und zu schwächen, größer denn je. Nationalstaaten und Cyberkriminelle arbeiten daran, die Probleme zu lösen, die ihnen durch starke Verschlüsselung entstehen, und suchen nach kreativen Möglichkeiten, Informationen vor oder nach der Verschlüsselung abzufangen oder zu erbeuten. Und zum anderen liegen die größten Schwächen nicht in den neuesten Funktionen, die wir nur schwer übernehmen, sondern in den alten, die wir nur ungern deaktivieren. Bis diese beiden Probleme behoben sind, sollten Sie vorrangig unterstützende Protokolle wie DNS CAA und HSTS verwenden, um sicherzustellen, dass die kleineren Lücken in der Stärke von HTTPS nicht ausgenutzt werden können.

Klicken Sie hier, um den vollständigen TLS-Telemetriebericht 2021 anzuzeigen oder herunterzuladen.

Über die Studie

Die meisten Daten dieser Studie stammen aus unseren Cryptonice- Scans der beliebtesten Sites in der Tranco-Top-1M-Liste , die 1 Million beliebte Domains enthält. Wir untersuchen außerdem die von OpenPhish gemeldeten Phishing-Sites und ergänzen unsere Erkenntnisse mit von Shape Security erfassten Client- (Browser-)Daten, um ein klares Verständnis der am häufigsten verwendeten Browser und Bots zu erhalten. Besuchen Sie F5 Labs für weitere Details.