A medida que los protocolos antiguos demuestran ser inseguros y surgen nuevos estándares, nunca ha sido más importante mantener las configuraciones HTTPS actualizadas. De hecho, las configuraciones incorrectas de Transport Layer Security (TLS) y HTTPS son ahora tan comunes que en el Top 10 de OWASP de 2021, las fallas criptográficas ahora ocupan el segundo lugar.
De acuerdo al Informe de Telemetría TLS de 2021, el problema no es tanto la falta de adopción de nuevos cifrados y funciones de seguridad, sino la velocidad a la que se eliminan los protocolos antiguos y vulnerables.
Los atacantes saben que existe una correlación entre configuraciones HTTPS deficientes y un servidor web vulnerable. Los sitios web que habitualmente no siguen las mejores prácticas de TLS también ejecutan servidores web antiguos (y probablemente vulnerables).
Además de eso, está el uso o abuso potencial del cifrado web con fines maliciosos. Los atacantes han aprendido a usar TLS en su beneficio en campañas de phishing, los gobiernos de todo el mundo buscan usar el cifrado en su beneficio y las técnicas de huellas dactilares plantean preguntas sobre el predominio de servidores de malware en el millón de sitios principales de la web.
Datos Importantes
Para recopilar los datos para este informe, F5 ha desarrollado su propia herramienta de escaneo TLS, Cryptonice, que ahora es gratuita y de código abierto. F5 escaneó un millón de sitios web y examinó su configuración de cifrado para encontrar:
• Por primera vez, TLS 1.3 fue el protocolo de cifrado elegido en la mayoría de los servidores web.
• La vida útil máxima de los certificados recién emitidos se redujo significativamente en septiembre de 2020, de tres años a solo 398 días. También hay un movimiento creciente hacia los certificados a muy corto plazo, ya que la vida útil más común fue de 90 días, lo que representa el 38% de todos los certificados.
• Los 100 sitios principales tenían más probabilidades de seguir admitiendo SSL v3, TLS 1.0 y TLS 1.1 que los servidores con mucho menos tráfico.
• El 2% de los sitios todavía tienen SSL v3 habilitado, lo que representa cierto progreso, pero no lo suficiente en nuestro libro.
• El número de sitios de phishing que utilizan HTTPS con certificados válidos para parecer más legítimos a sus víctimas aumentó del 70% en 2019 a casi el 83%. Aproximadamente el 80% de los sitios maliciosos provienen de solo el 3.8% de los proveedores de alojamiento.
• En términos de proveedores de servicios, los phishers tienden a preferir ligeramente Fastly, con Unified Layer, Cloudflare y Namecheap justo detrás.
• Facebook y Microsoft Outlook / Office 365 fueron las marcas más comúnmente falsificadas en los ataques de phishing.
• Las plataformas de correo web constituyeron el 10,4% de las funciones web suplantadas, casi tan alto como Facebook. Esto significa que los ataques de phishing son tan comunes contra el correo web como contra las cuentas de Facebook.
Conclusión
El deseo de interceptar, debilitar y eludir el cifrado nunca ha sido mayor. Si bien esto rara vez da como resultado ataques directos contra algoritmos o protocolos criptográficos, a menudo lleva a los atacantes a pensar en formas creativas de interceptar o capturar información antes o después de que se haya cifrado. Con estos riesgos siempre presentes, nunca ha sido más importante centrarse en configuraciones HTTPS sólidas y actualizadas, especialmente cuando los certificados digitales se comparten entre diferentes servicios.
El informe está disponible en el sitio de F5 (no requiere registro).
