Uma Análise da Utilização de HTTPS no Brasil
Resumo
O HTTPS é essencial para garantir a segurança das comunicações que utilizam o protocolo HTTP na Internet. Entretanto, apesar da crescente adoção do HTTPS, muitos sites ainda não implementam da maneira correta os certificados digitais e não suportam a versão 1.3 do TLS. Este trabalho apresenta uma análise da utilização do HTTPS no Brasil. A análise apresentada neste paper inclui 5806 sites de instituições públicas e privadas, incluindo sites das três esferas governamentais, instituições financeiras, comércio eletrônico, além de 994 endereços IP da base de dados do Censys, que englobam endereços de operadoras e provedores de serviços de Internet. Os resultados demonstram que a maioria dos serviços analisados utilizam ou suportam versões antigas do TLS/SSL, que contém vulnerabilidades conhecidas e passíveis de exploração por agentes maliciosos. Apenas 30% dos sites analisados suportam a versão 1.3 do TLS.
Palavras-chave:
HTTPS, TLS, certificados digitais, análise de dados, segurança
Referências
Aviram, N., Schinzel, S., Somorovsky, J., Heninger, N., Dankel, M., Steube, J., Valenta, L., Adrian, D., Halderman, J. A., Dukhovni, V., et al. (2016). DROWN: Breaking TLS Using SSLv2. In 25th USENIX Security Symposium, pages 689–706.
Barbosa, R. d. O., Winckler, S. C., Kreutz, D., and Chervinski, J. O. M. (2018). Proteção de comunicações passadas e futuras 101. In Revista Brasileira de Computação Aplicada, pages 1–4.
Bokslag, W. (2016). The problem of popular primes: Logjam. arXiv preprint arXiv:1602.02396.
Chothia, T., Garcia, F. D., Heppel, C., and Stone, C. M. (2017). Why Banker Bob (still) Can’t Get TLS Right: A Security Analysis of TLS in Leading UK Banking Apps. In Int. Conf. on Financial Cryptography and Data Security, pages 579–597. Springer.
Constantin, L. (2014). Google to kill off SSL 3.0 in Chrome 40. https://www.computerworld.com/article/2841821/google-to-kill-off-ssl-30-in-chrome-40.html.
Duong, T. and Rizzo, J. (2011). Here come the ninjas. Unpublished manuscript, 320.
Durumeric, Z., Adrian, D., Mirian, A., Bailey, M., and Halderman, J. A. (2015). A search engine backed by internet-wide scanning. In Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security, pages 542–553.
Durumeric, Z., Kasten, J., Bailey, M., and Halderman, J. A. (2013). Analysis of the HTTPS certificate ecosystem. In ACM IMC, pages 291–304. ACM.
Escarrone, T., Kreutz, D., and Fiorenza, M. (2019). Uma Primeira Analise do Ecossistema HTTPS no Brasil. In 4o Workshop Regional de Segurança da Informação e de Sistemas Computacionais, Alegrete-RS, Brasil. http://errc.sbc.org.br/2019/wrseg/papers/escarrone2019uma.pdf.
Fiorenza, M. M., Kreutz, D., Escarrone, T., and Temp, D. (2020). Uma Análise da Utilização de HTTPS no Brasil (versão estendida arXiv). https://arxiv.kreutz.xyz/https_no_BR_arXiv2020.pdf.
Frost, V., Tian, D. J., Ruales, C., Prakash, V., Traynor, P., and Butler, K. R. B. (2019). Examining DES-based Cipher Suite Support Within the TLS Ecosystem. In 2019 ACM AsiaCCS, pages 539–546. ACM.
Housley, R., Polk, T., and III, L. E. B. (2002). Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. RFC 3279.
Huang, J., Zhang, Z., Li, W., and Xin, Y. (2019). Assessment of the impacts of TLS vulnerabilities in the HTTPS ecosystem of China. Procedia computer science, 147:512–518.
Kaspersky researchers (2019). Not so random: Reductor malware hijacks HTTPS traffic by manipulating browsers’ ”random”numbers generator. shorturl.at/FMSY5.
Kerner, S. (2015). Logjam SSL/TLS Vulnerability Exposes Cryptographic Weakness. shorturl.at/amu69.
Kreutz, D., Winckler, S. C., de Oliveira Barbosa, R., Chervinski, J. O., and Jenuario, T. (2019). Introdução a Propriedades Básicas e Avançadas de Segurança da Informação. In 17a Escola Regional de Redes de Computadores, Alegrete-RS, Brasil. http:// errc.sbc.org.br/2019/mc/kreutz2019propriedades.pdf.
Matsumoto, S. and Reischuk, R. M. (2015). Certificates-as-an-Insurance: Incentivizing accountability in SSL/TLS. In USENIX NDSS WSENT.
McKay, K. and Cooper, D. (2019). Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations (2nd Draft). Technical Report 52r2, National Institute of Standards and Technology.
Merzdovnik, G., Falb, K., Schmiedecker, M., Voyiatzis, A. G., and Weippl, E. (2016). Whom You Gonna Trust? A Longitudinal Study on TLS Notary Services. In Data and Applications Security and Privacy, pages 331–346. Springer.
Möller, B., Duong, T., and Kotowicz, K. (2014). This POODLE bites: exploiting the SSL 3.0 fallback. Security Advisory.
Rescorla, E. and Dierks, T. (2008). The Transport Layer Security (TLS) Protocol Version 1.2. RFC 5246.
Samarasinghe, N. and Mannan, M. (2019). Another look at TLS ecosystems in networked devices vs. Web servers. Computers & Security, 80:1 – 13.
van der Merwe, T. (2020). It’s the boot for tls 1.0 and tls 1.1. https://hacks.mozilla.org/2020/02/its-the-boot-for-tls-1-0-and-tls-1-1/.
Vratonjic, N., Freudiger, J., Bindschaedler, V., and Hubaux, J.-P. (2013). The inconvenient truth about web certificates. In Economics of information security and privacy iii, pages 79–117. Springer.
Barbosa, R. d. O., Winckler, S. C., Kreutz, D., and Chervinski, J. O. M. (2018). Proteção de comunicações passadas e futuras 101. In Revista Brasileira de Computação Aplicada, pages 1–4.
Bokslag, W. (2016). The problem of popular primes: Logjam. arXiv preprint arXiv:1602.02396.
Chothia, T., Garcia, F. D., Heppel, C., and Stone, C. M. (2017). Why Banker Bob (still) Can’t Get TLS Right: A Security Analysis of TLS in Leading UK Banking Apps. In Int. Conf. on Financial Cryptography and Data Security, pages 579–597. Springer.
Constantin, L. (2014). Google to kill off SSL 3.0 in Chrome 40. https://www.computerworld.com/article/2841821/google-to-kill-off-ssl-30-in-chrome-40.html.
Duong, T. and Rizzo, J. (2011). Here come the ninjas. Unpublished manuscript, 320.
Durumeric, Z., Adrian, D., Mirian, A., Bailey, M., and Halderman, J. A. (2015). A search engine backed by internet-wide scanning. In Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security, pages 542–553.
Durumeric, Z., Kasten, J., Bailey, M., and Halderman, J. A. (2013). Analysis of the HTTPS certificate ecosystem. In ACM IMC, pages 291–304. ACM.
Escarrone, T., Kreutz, D., and Fiorenza, M. (2019). Uma Primeira Analise do Ecossistema HTTPS no Brasil. In 4o Workshop Regional de Segurança da Informação e de Sistemas Computacionais, Alegrete-RS, Brasil. http://errc.sbc.org.br/2019/wrseg/papers/escarrone2019uma.pdf.
Fiorenza, M. M., Kreutz, D., Escarrone, T., and Temp, D. (2020). Uma Análise da Utilização de HTTPS no Brasil (versão estendida arXiv). https://arxiv.kreutz.xyz/https_no_BR_arXiv2020.pdf.
Frost, V., Tian, D. J., Ruales, C., Prakash, V., Traynor, P., and Butler, K. R. B. (2019). Examining DES-based Cipher Suite Support Within the TLS Ecosystem. In 2019 ACM AsiaCCS, pages 539–546. ACM.
Housley, R., Polk, T., and III, L. E. B. (2002). Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. RFC 3279.
Huang, J., Zhang, Z., Li, W., and Xin, Y. (2019). Assessment of the impacts of TLS vulnerabilities in the HTTPS ecosystem of China. Procedia computer science, 147:512–518.
Kaspersky researchers (2019). Not so random: Reductor malware hijacks HTTPS traffic by manipulating browsers’ ”random”numbers generator. shorturl.at/FMSY5.
Kerner, S. (2015). Logjam SSL/TLS Vulnerability Exposes Cryptographic Weakness. shorturl.at/amu69.
Kreutz, D., Winckler, S. C., de Oliveira Barbosa, R., Chervinski, J. O., and Jenuario, T. (2019). Introdução a Propriedades Básicas e Avançadas de Segurança da Informação. In 17a Escola Regional de Redes de Computadores, Alegrete-RS, Brasil. http:// errc.sbc.org.br/2019/mc/kreutz2019propriedades.pdf.
Matsumoto, S. and Reischuk, R. M. (2015). Certificates-as-an-Insurance: Incentivizing accountability in SSL/TLS. In USENIX NDSS WSENT.
McKay, K. and Cooper, D. (2019). Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations (2nd Draft). Technical Report 52r2, National Institute of Standards and Technology.
Merzdovnik, G., Falb, K., Schmiedecker, M., Voyiatzis, A. G., and Weippl, E. (2016). Whom You Gonna Trust? A Longitudinal Study on TLS Notary Services. In Data and Applications Security and Privacy, pages 331–346. Springer.
Möller, B., Duong, T., and Kotowicz, K. (2014). This POODLE bites: exploiting the SSL 3.0 fallback. Security Advisory.
Rescorla, E. and Dierks, T. (2008). The Transport Layer Security (TLS) Protocol Version 1.2. RFC 5246.
Samarasinghe, N. and Mannan, M. (2019). Another look at TLS ecosystems in networked devices vs. Web servers. Computers & Security, 80:1 – 13.
van der Merwe, T. (2020). It’s the boot for tls 1.0 and tls 1.1. https://hacks.mozilla.org/2020/02/its-the-boot-for-tls-1-0-and-tls-1-1/.
Vratonjic, N., Freudiger, J., Bindschaedler, V., and Hubaux, J.-P. (2013). The inconvenient truth about web certificates. In Economics of information security and privacy iii, pages 79–117. Springer.
Publicado
07/12/2020
Como Citar
FIORENZA, Maurício M.; KREUTZ, Diego; ESCARRONE, Thiago; TEMP, Daniel.
Uma Análise da Utilização de HTTPS no Brasil. In: SIMPÓSIO BRASILEIRO DE REDES DE COMPUTADORES E SISTEMAS DISTRIBUÍDOS (SBRC), 38. , 2020, Rio de Janeiro.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2020
.
p. 966-979.
ISSN 2177-9384.
DOI: https://doi.org/10.5753/sbrc.2020.12338.
