Компания Venafi, разработчик и поставщик услуг по управлению идентификацией компьютерной техники, представила результаты нового отчета исследователя безопасности и эксперта по TLS Скотта Хельме.
Исследование показывает, что хотя в некоторых областях был достигнут прогресс, необходимо больше учиться, чтобы обеспечить наиболее эффективное использование машинных идентификаторов для защиты онлайн-мира:
За последние шесть месяцев использование TLSv1.2 сократилось на 13%, а v1.3 используется почти на 50% сайтов. Переход на версию 1.3 обусловлен широкомасштабной цифровой трансформацией, инициативами, миграцией в облако и новыми облачными стеками, в которых по умолчанию используется версия 1.3.
Несмотря на то, что организации внедряют более надежные протоколы TLS, им не удается совместить это с переходом на более надежные ключи для идентификации компьютеров TLS.
Стандартные для отрасли ключи ECDSA сейчас используют всего 17% веб-сайтов – по сравнению с 14% шесть месяцев назад. Более медленные и менее безопасные ключи RSA по-прежнему используются 39% из миллиона крупнейших сайтов.
Рост внедрения HTTPS остановился на отметке 72% – на том же уровне, что и в декабре.
«Тот факт, что компании развертывают TLS v1.3 с машинными идентификаторами, использующими ключи RSA, показывает, что в области управления машинными идентификаторами еще многое предстоит сделать. Сильный алгоритм мало что значит, если он используется в сочетании со слабым ключом — это все равно, что построить каменную крепость, но оставить деревянные ворота незащищенными”, – объяснил Скотт Хельме, исследователь безопасности и основатель Report URI.
Сервис Let’s Encrypt по-прежнему является центром сертификации (ЦС), который выбирают миллион крупнейших пользователей. Однако также растет популярность Cloudflare. Видимо, благодаря этому росту и происходит внедрение TLS v1.3: 50% веб-сайтов, использующих v1.3, делают это через Cloudflare. Также продолжается сокращение использования сертификатов расширенной проверки (Extended Validation, EV): за последние шесть месяцев их использование сократилось на 16% после изменений, внесенных производителями браузеров, которые резко снизили ценность сертификатов EV для владельцев веб-сайтов.
Как свидетельствуют данные отчета, организации предпринимают все больше шагов по управлению своей машинной средой идентификации. Начиная с декабря, на 13% увеличилось количество сайтов, использующих авторизацию центра сертификации (CAA). Это дает возможность компаниям создавать список одобренных центров сертификации, которые могут использоваться в их организациях. Принятие такого контроля является положительным знаком для компаний, осознающих важность машинных идентификаторов в общей безопасности и проявляющих повышенную бдительность в способах управления ими.
“Недавний бум миграции в облака означает, что каждому предприятию требуется гораздо больше машинных идентификаторов TLS для защиты связи между устройствами, облаками, программным обеспечением, контейнерами и API”, – отметил Кевин Бочек, вице-президент по стратегии безопасности и анализу угроз компании Venafi. ” Использование CAA все большим количеством компаний является положительным признаком того, что компании начинают осознавать необходимость управления идентификацией машин. Использование CAA также подчеркивает острую необходимость в плоскости управления идентификацией машин, которая может автоматизировать использование идентификационных данных машин во все более сложных облачных средах “.
Управление идентификацией машин — это процесс управления и организации удостоверений — цифровых сертификатов и ключей — машин — устройств, рабочих нагрузок, приложений, контейнеров, IoT и т.д .
Источник: SecurityLab