Le top 100 sites Internet omettent systématiquement de suivre Transport Layer Security (TLS) les meilleures pratiques et prennent toujours en charge les protocoles plus anciens et obsolètes, suggère un nouveau rapport.
Compilé par la cyber-sécurité entreprise F5 Labs, le rapport de télémétrie TLS 2021 analyse dans quelle mesure les sites Web les plus fréquentés sur Internet réussissent à mettre en œuvre les meilleures pratiques autour de HTTPS et TLS en utilisant les données d’analyses du Web sites Web les plus populaires.
« Alors que les anciens protocoles s’avèrent peu sûrs et que de nouvelles normes émergent, il n’a jamais été aussi important de maintenir les configurations HTTPS à jour… Comme le montre ce rapport, le problème n’est pas tant le manque d’adoption de nouveaux chiffrements et fonctionnalités de sécurité, mais la vitesse à laquelle les protocoles anciens et vulnérables sont supprimés », lit le rapport.
Commentant l’importance de ces informations, F5 déclare que les sites Web qui ne suivent pas régulièrement les meilleures pratiques TLS sont également généralement ceux qui fonctionnent vieux et comme vulnérables. serveurs Web.
Sommaire
Deux pas en avant…
David Warburton, principal évangéliste en recherche sur les menaces (EMEA) chez F5 Networks écrit que le rapport montre que tandis que le Web chiffrement s’est améliorée à plusieurs égards, par rapport à l’année dernière, la stagnation ou même la régression dans de nombreux autres domaines annule une partie des progrès.
Le rapport note plusieurs points positifs, tels que l’adoption généralisée de TLS 1.3, qui est finalement devenu le protocole de cryptage de choix sur la majorité des serveurs Web du premier million de sites Web.
De plus, la durée de vie maximale des nouvelles Certificats SSL a également enregistré une baisse significative en septembre 2020, passant de trois ans à seulement 398 jours.
…et un pas en arrière
D’un autre côté, le rapport a révélé que les 100 premiers sites étaient plus susceptibles de continuer à prendre en charge les anciens protocoles SSL 3, TLS 1.0 et TLS 1.1 que les serveurs avec beaucoup moins de trafic.
Plus inquiétant encore, il a constaté que 22% des serveurs Web exécutaient Apache 2.0, qui a été publié en 2002 et mis à jour pour la dernière fois en 2013.
Le rapport constate également que le nombre de Hameçonnage les sites qui utilisaient HTTPS avec des certificats valides pour paraître plus légitimes sont passés de 70 % en 2019 à près de 83 %.
« Il est clair que nous sommes confrontés à deux réalités importantes à l’horizon 2022. L’une est que le désir d’intercepter, de contourner et d’affaiblir le cryptage n’a jamais été aussi grand … L’autre est que les plus grandes faiblesses ne proviennent pas des dernières fonctionnalités que nous luttons. à adopter, mais nous hésitons à désactiver les anciens », conclut Warburton.
