安全研究人员Ivan Ristic一直在默默地调查数百万个注册域名，以查明和测试SSL协议的实施情况。

　　Ristic是Qualys公司的工程部总监，负责SSL实验室的管理工作。该实验室从事非商业性的研究工作，于去年被Qualys公司收购。该实验室的网站利用SSL测试工具检查配置问题和协议错误，而这些缺陷有可能被中间人攻击（man-in-the-middle attacks）所利用，诱骗人们交出自己的敏感数据。

　　“我们正试着在互联网上找到尽可能多的SSL服务器，并对它们一一进行评估”，Ristic说，“我们的目标是弄明白SSL真正的使用现状。我们需要知道我们是否安全，如果存在安全隐患，我们还需要知道这些安全问题究竟是什么，可以采取哪些措施来解决这些问题。”

　　Ristic计划于本月下旬在Las Vegas举办的Black Hat大会上详细陈诉SSL目前的研究细节。Ristic表示，在审查的约1.2亿个域名中，约72万个域名使用了SSL认证。在本次采访中，Ristic解释了研究人员需要对SSL进行重点关注的原因，尽管大家都认为它是一个近乎完美的安全协议。

　　请介绍下SSL实验室，它是怎样成为Qualys公司一部分的呢？

　　Ristic：SSL实验室是一个重点关注SSL和TLS协议的研究组织，是我在大约一年前创立的，这来源于我对SSL的狂热爱好。当我发现SSL是一个如此优秀的协议时，我对SSL便着了迷。SSL是最成功的协议之一，是网络安全的支柱，可我们在研究它的使用情况、帮助各地的用户配置SSL以及正确使用SSL等方面花的时间却很少。在我所创建的这个网站上，有大量可以帮助人们了解如何正确配置SSL的信息和工具。Qualys公司非常看重我所做的研究。在收购之前，我可以说是一边负责SSL实验室，一边做其他的事情。而Qualys公司给我提供了一次机会，使我能够把精力全部放在这项研究上。

　　为什么缺乏对SSL的研究？

　　Ristic：我认为其中的原因是，SSL在最初阶段就取得了许多令人激动的研究成果。该协议自创立以来大约有15年了。多年来，不知道什么原因，我们没有重视SSL，反而研究应用安全领域、甚至是网络安全领域等其他方面的问题去了。我觉得，人们过去对SSL有一种约定俗成的看法，那就是没有必要对它进行认真思考，这不得不说是一件令人惋惜的事。不过，几年下来，这种情况有了比较明显的改观。关于SSL，我们已经有了不少新的认识。有几个相互独立工作的研究人员发现，SSL不仅在实施过程中存在许多问题，其协议本身也存在一些需要解决的细小问题。现在，对SSL的研究又成了一个热点，越来越多的人开始不再沉默，并致力于解决SSL的问题。

　　许多问题都是源于配置吗？

　　Ristic：是的。实施工作中存在问题，协议本身也存在一些小问题。如果您是一名普通用户，您不必对协议问题关注太多。这是SSL厂商需要关心的问题，是研究人员改善该协议需要解决的问题。作为一个普通用户，您只需要保持系统更新。如果您保持了系统更新，那么您就可以应对这些问题了。至于配置问题，您可以马上对其进行了解，并且在半小时或几个小时内就能把问题解决。然而，大多数人根本没有意识到他们的配置存在问题。

　　配置是在线SSL评估工具的基础吗？所有这些问题都需要检查一遍吗？

　　Ristic：是的。在线工具分为两部分：第一部分是系统方法，它详细阐明了如何进行SSL评估；第二部分是工具。如果您键入了网站域名，该工具将转到该域名，并找到后台所有的SSL服务器，甚至是相同域名下的多个SSL服务器，然后对服务器逐一进行评估。评估的结果很容易看懂，因为我们对每种网站的配置方式都进行了总结，分成A至F级并用0到100进行编号。所以，即使您没有深入研究SSL，也会很容易明白。而如果您是技术用户，我们还会提供更多的技术信息。这两类用户对此都感到满意。

　　您曾经谈到过SSL renegotiation漏洞。这是一个什么问题？

　　Ristic：renegotiation漏洞是去年年底发现的。基本上，这个问题来自SSL的某一特殊层面，这是SSL的优势也是劣势。SSL被设计成协议无关的，所以它位于一个独立的网络层。这使得它适用于任何底层的网络协议。您可以使用SSL保护HTTP、电子邮件的SMTP协议、IMAP、LDAP以及其他协议。而要想让这些不同的协议都与SSL一起使用，几乎不需要做什么工作。但是，我们现在明白了，当您部署一个没有直接连接到SSL的协议时，威胁就会被引入。最终，我们将被迫面对不匹配问题，以及其他一些您可能无法处理的SSL问题，因为您对其完全不了解。其本质是允许攻击者打开两个连接，并诱使用户把这两个连接当成一个来使用，由此攻击者便可以向有漏洞的网站引入任意内容。这一点修复起来相对快速，但实际上现在的问题是，所有的SSL服务器都需要打补丁。在对正在打补丁的无数服务器进行调查时，该漏洞便是我要检查的重点之一，以便了解当系统问题出现时管理员的反应速度有多快。

　　您的测试是用2000个数据包对单个服务器进行快速测试吗？

　　Ristic：这项评估的设计在构想之初是打算包含大量评估测试的，但在没有一个完整的SSL连接的情况下，只能在一个非常低的层次进行实施，不过这也使得速度非常快。一次测试需要进行约200次连接，数据交换的速度为250 kbts。我们不希望所测试的服务器超负荷运转，不过测试本身并不会损害任何服务器。我们正试着尽可能多的找到互联网上的SSL服务器，并对它们一一进行评估。我们的目标是弄明白SSL真正的使用现状。我们需要知道我们是否安全，如果存在安全隐患，我们还需要知道这些安全问题究竟是什么，可以采取哪些措施来解决这些问题。”

　　网站有数百万个，但只有相对较少的网站使用了SSL认证。这是否属实？

　　Ristic：是的。总共约有2亿个注册域名，在测试中我调查了其中的60％（1.2亿个）。弄明白所调查的1.2亿个网站都支持哪些服务，只是我工作的开始。我还想了解每个域名所代表的网站是否都真实存在，所运行的网站又是否安全。最终我们发现，约1/4的域名都无法访问。在所测试的域名中，约77％有一个服务器。大约2200万个域名有Web服务器，约3％的域名可能具备有效的SSL认证。我还发现，大约有72万个网站是安全的，在测试的第二阶段我还将对其进行更深入的评估。目前，我们在SSL领域面临着一个重大的问题：如果托管一百万个网站，您可以把它们全放在一个IP地址上；可对于每一个安全的网站来讲，您只能拥有一个独立的专用IP地址。这一问题很难解决，阻碍了SSL在世界范围内的普及。

　　您已经参与了开源Web应用程序防火墙ModSecurity项目。对于Trustwave收购Breach Security以及ModSecurity项目，您作何反应？

　　Ristic：收购可能会影响ModSecurity项目，但我们并不知道他们以后对ModSecurity有什么打算。说实话，ModSecurity项目在Breach Security下并没有良好发展，所以我认为收购可能会让情况变得更好一些。虽然他们在维护ModSecurity项目上做得的确很好，但在过去几年里我们没有看到ModSecurity取得过什么进展。我仍然会以贡献者的身份参与此项目，如果有时间还将继续作出自己的努力。

　　为什么ModSecurity项目的进展不大？

　　Ristic：我认为是因为ModSecurity与Breach Security的利益不一致造成的，因为Breach Security除了ModSecurity还有他们自己的产品。不幸的是，在ModSecurity被收购后，Breach Security并没有将其融入到自己的产品线中。如果当初他们做到了这一点，ModSecurity会因此而受益，因为ModSecurity也会成为Breach Security利益的一部分。