SSL证书部署漏洞应引起高度重视2022年1月17日

笔者于2010年12月6日以《计算机世界》特约撰稿人的身份发表了《网银SSL证书部署有漏洞》的技术文章,指出了当时的各大银行的网银SSL证书部署出现的六大安全问题。并在2021年12月24日发表的博文《网银SSL证书部署还有漏洞?》指出:11年后的今天,各大银行的网银SSL证书安全部署情况仍然不容乐观。

今天,笔者再给第三方支付服务提供商官网、电商官网的SSL证书部署情况做了一次安全体检,仍然是使用 Qualys SSL 体检从SSL证书、协议支持、密钥交换和加密套件强度等4个维度来检测,体检结果也不容乐观,希望相关公司能高度重视这些安全问题,因为部署SSL证书是必须的,但是正确部署也非常重要。

这里再强调一下不安全的加密套件的问题,这个问题普遍存在,是体检中发现的重灾区,主要是没有关闭不安全的TLS1.0和1.1和一些弱强度加密套件。浏览器同服务器握手协商加密算法理论上是优先使用高强度的加密套件和加密算法,但是如果服务器不关闭不安全的加密算法和加密套件,等于告诉攻击者服务器接受采用不安全的加密算法实现加密通信,而弱加密强度的加密很容易被破解使得SSL证书加密失去了加密的意义,必须关闭所有不安全的加密套件!

第三方支付网站
(排名不分先后)
评级
安全重新协议
关闭不安全协议
关闭不安全和弱强度加密套件
密钥长度2048位
全球信任
完整证书链
DNS CAA支持
支付宝
B
支持
没有关闭
TLS 1.0/1.1
没有关闭10个弱强度套件
支持降级攻击防护
不支持
财付通
B
支持
没有关闭
TLS 1.0/1.1
没有关闭24个弱强度套件
支持降级攻击防护
是,锚错误
不支持
银联商务
A+
支持
没有关闭
TLS 1.0/1.1
支持TLS 1.3
没有关闭23个弱强度套件
支持HSTS, 支持前向安全, 支持降级攻击防护
是,锚错误
不支持
拉卡拉
B
支持
没有关闭
TLS 1.0/1.1
没有关闭7个弱强度套件
支持降级攻击防护
是,锚错误
不支持
通联支付
B
支持
没有关闭
TLS 1.0/1.1
没有关闭23个弱强度套件
支持降级攻击防护
是,锚错误
不支持
京东支付
B
支持
没有关闭
TLS 1.0/1.1
没有关闭10个弱强度套件
支持HSTS, 支持降级攻击防护
是,锚错误
不支持
度小满
B
支持
没有关闭
SSL 3,TLS 1.0/1.1
没有关闭4个弱强度套件
没有关闭不安全协议RC4,支持降级攻击防护
不支持
和包
B
支持
没有关闭
TLS 1.0/1.1
支持TLS 1.3
没有关闭24个弱强度套件
支持降级攻击防护
是,锚错误
不支持
翼支付
B
支持
没有关闭
TLS 1.0/1.1
支持TLS 1.3
没有关闭23个弱强度套件
支持降级攻击防护, 支持前向安全
是,锚错误
不支持
沃支付
B
支持
没有关闭
TLS 1.0/1.1
支持TLS 1.3
没有关闭14个弱强度套件
支持HSTS, 支持降级攻击防护
不支持
电商网站
(排名不分先后)
评级
安全重新协议
关闭不安全协议
关闭不安全和弱强度加密套件
密钥长度2048位
全球信任
完整证书链
DNS CAA支持
天猫
B
支持
没有关闭
TLS 1.0/1.1
没有关闭11个弱强度套件
支持HSTS, 支持降级攻击防护
不支持
京东
B
支持
没有关闭
TLS 1.0/1.1
支持TLS 1.3
没有关闭14个弱强度套件
支持HSTS(太短)
不支持
苏宁易购
B
支持
没有关闭
TLS 1.0/1.1
没有关闭16个弱强度套件
支持HSTS(太短), 支持降级攻击防护
是,锚错误
多余证书
不支持
美团
B
支持
没有关闭
TLS 1.0/1.1
没有关闭14个弱强度套件
支持降级攻击防护
是,锚错误
不支持
拼多多
B
支持
没有关闭
TLS 1.0/1.1
没有关闭24个弱强度套件
支持降级攻击防护
不支持
小米
B
支持
没有关闭
TLS 1.0/1.1
支持TLS 1.3
没有关闭10个弱强度套件
支持降级攻击防护
不支持
滴滴
B
支持
没有关闭
TLS 1.1
没有关闭22个弱强度套件
支持降级攻击防护
不支持
携程
B
支持
没有关闭
TLS 1.0/1.1
支持TLS 1.3
没有关闭12个弱强度套件
支持降级攻击防护,支持HSTS(太短)
不支持
真快乐
B
支持
没有关闭
TLS 1.0/1.1
支持TLS 1.3
没有关闭14个弱强度套件
支持降级攻击防护
是,锚错误
不支持
贝壳
F
支持
没有关闭
SSL 3,TLS 1.0/1.1
没有关闭匿名套件,弱密钥交换等
没有关闭23个弱强度套件和3个不安全套件
支持降级攻击防护
不支持

最后,给大家看看得分为A+的第三方支付网站PayPal网站的体检结果截图(得分A+)和得分为F的贝壳网站的体检结果截图。笔者需要在这里特别声明的是:笔者不是故意要公开披露某个网站部署SSL证书存在的安全漏洞,这些漏洞说和不说都是摆在所有人(包括攻击者)的面前,任何人都可以使用各种安全扫描工具包括笔者使用的Qualys SSL体检系统来发现这些安全漏洞。

希望本文能再次引起各大第三方支付网站和电商网站的高度关注,及时把安全漏洞堵住。也希望熟悉这些网站的IT主管的朋友能把此文转发给相关网站主管。由于时间关系,我并没有遍历所有第三方支付网站和所有电商网站的SSL证书部署情况,其他网站也一定存在各种各样的SSL证书部署安全问题,大家都可以自己使用SSL体检工具发现这些问题并及时修复这些问题,希望通过大家的共同努力能提升我国互联网的整体安全水平。

点击 这里 下载此文 (PDF格式,有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)