Есть сложно выявляемые уязвимости и недостатки безопасности webприложений, которые приходится искать в рамках дорогостоящих аудитов или пентестов . А есть такие, в которые вляпываешься зайдя один раз обычным браузером на сайт. Ко второму случаю относится неправильный SSL / TLS-сертификат для обеспечения для обеспечения защищенного взаимодействия между сервером и клиентом по протоколу HTTPS или неправильная конфигурация группы протоколов SSL / TLS на сервере.
Хотелось бы показать, что проблема актуальна, но не светить при этом конкретных заказчиков, поэтому я сделал отдельный экспресс анализ публично доступной информации (та информация, которую сервис выдает каждому клиенту) о сертификате и настройках SSL / TLS 24-х для таких важных с точки зрения ИБ-шника сайтов, как: личные кабинеты и профили в сообществах по ИБ, русскоязычные партнерские/клиентские разделы ИБ вендоров, личные кабинеты у операторов связи, учебных центров, порталы гос. органов, торговые площадки, интернет банки, интернет магазины.
Анализ проблем с сертификатами и вариант их решения приводится в отдельной статье , а ниже анализ по ошибкам конфигурации SSL / TLS
С одной стороны, использование протокола HTTPS– это де факто стандарт при защите взаимодействия с клиентов и его надо использовать, с другой стороны, при неверных настройках HTTPS, мы получаем лишь иллюзию защищенного взаимодействия.
Приложение. Форумы / площадки для общения ИБшников
Надо отметить что такие площадки как Securitylab.ru, club.cnews.ruне поддерживают httpsв принципе. Да и судя по настройкам SSL / TLS остальных порталов – сапожники без сапог.
Приложение. Производители ИБ решений. Учебные центры по ИБ
Надо отметить что порталы таких вендоров и учебных центров как Securitycode.ru, infosystems.ru, academy.it.ruне поддерживают httpsв принципе.
Приложение. Торговые площадки, фонды, интернет магазины
Приложение. Банки
Приложение. Операторы связи
Приложение. Гос. органы и ГИСы
