Alexa排名前10万的网站中将近21%仍然没有使用HTTPS。这是早些时候由WatchGuard发布的Q3网络安全报告中几个有趣的结论之一。还有其他有趣的小贴士：尽管许多不同的行业和监管机构呼吁取消对SSL 2.0和SSL 3.0的支持，但它们仍然存在。所以今天我们将分解WatchGuard的报告。或者至少是那些适合我们的零件。我们讨论一下吧。

在开始之前，让我们将Alexa Top 100000放在上下文中，对于所有意图和目的，Alexa 100000并不实际存在。没有你可以从网上下载的列表。他们曾经出版过排名前10万的书籍，但在2016年停止出版。Scott Helme偶尔会发布一些关于它的信息，但是除此之外，这些数据并不是非常容易访问的。如果你想知道某个网站的排名，你可以去Alexa.com，通过URL单独搜索。

有一个现成的Alexa排名表，你只要付钱就可以了。而且它们并不容易找到，这使得像这样的工作更有价值——考虑到进入这类研究的障碍。不过，在开始使用统计数据之前，有一些必要的上下文。正如报道所说：我们怀疑顶级网站构成了Internet用户访问页面的大部分。为了证明这一点，我们使用了来自.arweb.com.的Alexa前10万个结果和结果。Alexa按照访问量最大的顺序，列出了前100万个网站。Similarweb.com还根据最常访问的网站编排顶级网站，并为最受欢迎的网站提供每月估计访问量。数字支持这一点。在排名前10万的人群中，并非所有的人都是平等的。在排名前100的网站中，流量大大地得到了整合。世界顶级站点（谷歌）和世界第100万站点之间的差异是惊人的，排名第一的站点每月收到的流量是排名第一的站点每月收到的流量的143000倍。或者更直截了当的说：Google每20秒收到的访问量相当于世界第100万个被访问的网站一个月收到的访问量。这里是交通如何堆栈在顶部10万，由守卫礼貌的可视化。

现在我们来看看有趣的东西。全球排名前十万的网站中将近21%仍然没有使用HTTPS。让我们从最令人担忧的统计数据开始吧：Alexa排名前十万的网站中，有五分之一的网站仍然通过HTTP提供服务。此时，我感觉我已经打败这匹死马三年了（我已经打了），但是我们应该已经过了是否使用HTTPS甚至是一个对话的阶段。

互联网不是被设计成安全的，因为它在设计时不需要是安全的。我知道那是一个令人困惑的句子，但是在互联网被开发并且这些协议被创建的时候，互联网上并没有很多私人的、敏感的信息。那时商业活动被禁止，主要的用例是在政府实体和学术界之间自由交换信息。显然，这离当今互联网的现实已经不远了。就像汽车刚被制造出来时没有安全带一样，我们后来不得不授权它们，现在我们已经授权网站应该通过端口443安全地连接，而不是从端口80喷洒明文。HTTP连接不安全。任何窃听您连接路径通过到目的地的几十个设备中的任何一个，都可以轻松地获取或操纵正在交换的任何信息。说真的，我们几周前就写过这个问题，如果人们真的知道他们在访问一个网站时通过多少个连接点，那么仅仅提到HTTP就会遇到音叉和火炬。甚至“不作恶”风气的谷歌，也一直在抨击网站没有使用HTTPS。因此，记住这一点，让我们看看Alexa排名前10万、使用HTTPS的网站与仍然通过HTTP提供服务的不可救药的网站之间的区别。

同样地，这些网站中的大多数将面向前10万的后半部分，但是20+%也不能忽略。显然，在HTTPS迁移方面还有很多工作要做。6.8%的HTTPS网站仍然支持SSL 2.0和/或SSL 3.0，让我们讨论一下SSL和TLS协议版本。这又回到了关于SSL和TLS之间区别的旧对话。SSL或安全套接字层是最初的协议，由Netscape在90年代中期开发。最初的版本SSL 1.0从未起步。SSL 2.0已经发布，但时间很短。SSL 3.0是SSL协议的最后一次迭代，之后它变成了TLS或传输层安全性，这是一种类似的协议，但是两者也不一定是可互换的。我们目前使用的是TLS 1.3。目前，最佳实践是不支持SSL 2.0或SSL 3.0——由于诸如POODLE和DROWN之类的已知漏洞，这两者都被认为是不安全的——TLS 1.0和TLS 1.1由于在2020年之前被完全废弃（支付卡行业已经强制取消这种废弃）。现在让我们来看看Alexa前10万中的SSL/TLS版本支持。我们首先来看一下支持的最高协议：

None TLS 1.3 TLS 1.2 TLS 1.1 TLS 1.0 SSL 3.0 SSL 2.0

20,911 17,345 59,830 53 2,221 5 0

当WatchGuard卷起袖子，真正深入数据时，出现了一些有趣的小道消息。例如：

测试的24个网站支持SSL 2.0，但不支持SSL 3.0

除了五个支持SSL 2.0或SSL 3.0的站点外，所有站点都支持更高版本

349个支持SSL 2.0的站点支持其最弱的密码套件

两个站点只支持TLS 1.3，不会降级到以前的版本

TLS 1.1似乎是TLS家族的红头发继子

有利的一面是，TLS 1.3的采用似乎进展顺利，前10万名中只有17%的人支持它。

但是回到过时的SSL/TLS协议版本，不支持SSL 3.0之上的任何东西的五个站点肯定需要将它们组合在一起，但是也有许多令人不安的网站支持较新的版本，但是仍然没有放弃对这些过时的SSL协议的支持。

这很重要，因为它打开了站点，并且它的访问者受到降级攻击，而这些攻击基本上会使加密变得无用。

我们认为，这些站点没有理由支持SSLv2或v3。幸运的是，这些站点中的许多在提供时仍然会接受更安全的协议。然而，保留对旧SSL协议的支持可以允许黑客强制进行降级攻击。

说得好。以下是分类，请记住，这些数字只包括使用HTTPS的79089个网站：

对于有统计头脑的人来说，这相当于支持SSL 3.0的前10万个站点的大约5.7%，而另外1.1%的站点也支持SSL 2.0。

再一次，考虑到Alexa排名前10万的交通流量，这些统计数字可能感觉有些夸张。但是这仍然是SSL/TLS生态系统总体健康的晴雨表。一方面，全球超过17%的顶级站点正在支持最近完成的TLS 1.3。但是，在另一端，我们有网站拖着他们的脚在版本支持，而他们继续行使松散的网络安全。

我们将以这个结尾：在网络安全领域，有许多事情甚至超出了最熟练的专业人员的控制。连接安全性不是其中之一。任何网站都可以有一个执行良好的SSL/TLS实现。每个网站都应该这样。

文章来源：互联网

厦门聚力诚信科技有限公司（BestCert）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。