Qualys工程總監(jiān)Ivan Ristic稱對(duì)TLS 1.1和1.2版本的支持幾乎不存在���。
曾在八月黑帽大會(huì)上展示過(guò)自己發(fā)現(xiàn)的Ristic發(fā)現(xiàn)了其他證據(jù)證明網(wǎng)站通常會(huì)推遲SSL漏洞更新���。他得分析指出有35%的網(wǎng)站不久前才為2009年9月就發(fā)現(xiàn)的TLS漏洞��,而攻擊者可能利用這個(gè)漏洞將文本注入兩個(gè)SSL端點(diǎn)之間傳輸?shù)募用軘?shù)據(jù)中�。
Root 實(shí)驗(yàn)室首席安全顧問(wèn)Nate Lawson稱�����,研究指出升級(jí)TLS不是件容易的事情�,主要是因?yàn)閹缀趺總€(gè)修補(bǔ)都會(huì)影響到一些廣泛使用的應(yīng)用或技術(shù)����。最近添加到Chrome中的一項(xiàng)技術(shù)就顯著減少了網(wǎng)站與終端用戶間建立加密連接的時(shí)間。
Duong和Rizzo認(rèn)為還有更多例子���。
“實(shí)際上�����,我們從五月初就開(kāi)始與瀏覽器和SSL供應(yīng)商接觸��,每個(gè)推薦的補(bǔ)丁與現(xiàn)有SSL應(yīng)用多不兼容�����,”Duong寫道����。“阻止人們更新的原因是許多網(wǎng)站和瀏覽器僅支持SSL 3.0和TLS 1.0。 如果有人將其網(wǎng)站完全升級(jí)到1.1或1.2�����,那就會(huì)喪失很多客戶���。”
