SSL בישראל

"SSL בישראל" הוא מיני-פרויקט שהחלטתי עליו לאחר שנמאס לי. נמאס לי לראות חברות וארגונים, כולל מהגדולים והעשירים בישראל, שלא מטמיעים SSL ו-TLS באופן מיטבי, בלשון המעטה, מסיבות שאינן ידועות לי ושאני מקווה שהן טובות (אבל קשה לי להאמין בכך).

(כן, אני יודע שמומלץ כעת שלא להשתמש ב-SSL בכלל אלא ב-TLS, אבל SSL מתחרז טוב עם "ישראל" ורוב האנשים, בייחוד הבלתי-מקצועיים בתחום, מכירים בעיקר את השם הזה – אז נשתמש בשם הזה, כצורך "שיווקי" לטובת הפרויקט הזה)

אני משתמש בתוסף לפיירפוקס בשם Calomel SSL Validation (עמוד התוסף באתר פיירפוקס, אתר התוסף, לצערי לא מצאתי תוסף דומה לכרום), אשר מציג את רמת הטמעת ה-SSL של האתר שבו המשתמש גולש, כולל ציון שהתוסף נותן לאתר. בלא מעט פעמים אני חוטף חום כאשר אני רואה אתרים שמאחסנים ומעבירים לצד הלקוח מידע אישי רגיש – שלא עושים שימוש מיטבי ביכולות ההצפנה שעומדות לרשותנו כיום – כך שבשורה התחתונה אני כלקוח של חלק מהארגונים האלו, מרגיש שמדובר באחת או יותר מהאפשרויות של זלזול, רשלנות, חוסר מקצועיות, קמצנות, פחדנות וכדומה, וחשבתי שהגיע הזמן להציף לציבור את הידיעה מי עושה הצפנה טוב ומי לא, כך שהציבור ידע מי משקיע בהגנה על המידע ומי לא, ואולי, רק אולי, הארגונים שצריכים להשתפר – אכן ישתפרו ברגע שהמידע הזה יהיה פומבי ומרוכז, לבטח בהשוואה לאתרים של חברות/ארגונים אחרים באותו תחום, שעושים עבודה טובה יותר.
אבטחת מידע טובה צריכה להיות נושא שחברות וארגונים צריכים להתגאות בו בפומבי כגורם שהוא לטובת הלקוח ולכן למעשה גם לטובת בעלי האתרים.

אז איך נעשה את זה?

1. אני אסרוק אתרים ישראלים שונים בעזרת השירות הנפלא SSL Server Test של חברת Qualys SSL Labs, מטעם חברת Qualys. שירות זה מאפשר לכל אחד להריץ סריקה מול אתר בעל שם באינטרנט (כגון www.google.com) (אבל לא כנגד כתובות IP אשר מבוססות על מספרים בלבד), ולקבל דו"ח לגבי מצב הטמעת ה-SSL/TLS של האתר
   – אין לי הגדרה מדויקת למה הכוונה ב"אתרים ישראלים" – הכוונה בגדול היא לאתרים שמשרתים בעיקר ישראלים ו/או בעלי סיומת שקשורה לישראל (כגון il או co.il וכן הלאה), בדגש על כאלו שנוגעים לאנשים רבים ו/או יש להם משמעות מיוחדת
2. אני אתחזק קובץ Excel (בתבנית XLSX) ובו הממצאים העיקריים של דו"חות הסריקה הנ"ל (אם אין לכם את תוכנת Excel אז יש תוכנה חינמית של מיקרוסופט שתאפשר לכם לצפות בקובץ – Excel Viewer)
   – הקובץ יהיה באנגלית – זו שפת התקשוב ולא צריכה להיות בעיה עם זה. לא, אין כוונה לתרגם את הקובץ לעברית בעתיד
   – הקובץ כולל גיליון בשם Matrix שכולל את הטבלה העיקרית של הממצאים ובנוסף גיליון בשם General שכולל הפניות למידע טכני-מקצועי אודות הבדיקה שהאתר של SSL Labs מבצע, כיצד לשפר את רמת ההצפנה ומידע כללי אודות הצפנות.
   עדכון, 18/3/17: הגיליון General שינה את שמו להיות Guidance ונוסף גיליון חדש, שקיבל את השם General וכולל את גרסת הקובץ ואת תאריך פרסום אותה גרסת הקובץ, כך שנוכל לדעת אם הקובץ השתנה ואולי אף להשוות בין גרסאות, מי שירצה
   – המידע בקובץ לא יכלול את כל השדות אשר קיימים בדו"ח תוצאת הסריקה, אלא רק את השדות שנראים לי חשובים/מרכזיים ו/או כאלו שכללו תוצאות חריגות לרעה לגבי אתרים שונים
3. הקובץ הזה יועלה, לאחר כל עדכון שלו, לאתר של Google Drive ויהיה נגיש ללא כל צורך בהזדהות (באופן אנונימי) או בחשבון בגוגל, ויהיה ניתן להורדה בתצורתו המקורית
   – מי שיפתח את הקישור כאשר הוא מזוהה עם מול גוגל עם חשבון של גוגל – גם יוכל לצפות באופן מקוון בגרסה של הקובץ כ-Google Sheet, שנראית הרבה יותר טוב בדפדפן
   – הקובץ מותר להפצה חופשית
   – הקובץ יכיל תמיד רק את המידע העדכני למועד העדכון, ללא רשומות היסטוריות של מצב האתרים בעבר כי המטרה היא לדחוף קדימה ולא להעמיס את הקובץ בעודף מידע שאינו הכרחי
   – תיתכן חוסר התאמה בין תוצאות הרצת סריקה על ידכם באתר SSL Labs לבין הרשום בקובץ שלי, כי ייתכן שמאז שעדכנתי את הרשומה הרלוונטית בוצעו שינויים, בין אם במערכת הבדיקות של SSL Labs ובין אם באופן הטמעת האבטחה באתר הנבדק
   – הקישור המלא הוא
   https://drive.google.com/open?id=0B6EGT8h1mYlbWEd5Z285QWdIakE
   – יש גם קישור מקוצר של https://tinyurl.com/SSL-In-Israel
4. אני מקווה גם מדי פעם להעלות לכאן פוסטים של עדכונים ותובנות מתוך הקובץ הזה

מדי פעם אולי גם אעשה בדיקות עצמאיות משלי בכדי לוודא שמפעילי האתר לא עשו מניפולציות שנועדו לוודא שהבדיקה של SSL Labs תדווח על מצב תקין בעוד שעבור אחרים המצב פחות טוב… אם אתם נתקלים במצב כזה – אתם יותר ממוזמנים לדווח לי על כך

בנוסף לאתר הבדיקות של SSL Labs יש עוד מספר אתרים שעושים בדיקות דומות, ונאלצתי להשתמש באחד מהם במקרה של אתר אחד (של כ.א.ל.) שלא היה ניתן לסרוק אותו על ידי SSL Labs. אתרים אלו ישמשו אותי במקרה ומסיבות שונות לא ניתן יהיה להשתמש באתר של SSL Labs. האתרים הם:
SSL Server Security Test של חברת High-Tech Bridge
TLS & SSL Checker באתר Online Domain Tools (אשר מאפשר גם לבחור יעד שהוא כתובת IP מספרית וגם לבחור מספר פורט שאינו בהכרח 443 אשר מקובל לשימוש עבור HTTPS)
COMODO SSL Analyzer של חברת Comodo (אשר מאפשר גם לבחור יעד שהוא כתובת IP מספרית)

כרגע, בתור התחלה התחלתי עם האתרים המרכזיים של הבנקים וחברות האשראי בישראל. תוכלו לראות שמשום מה, דווקא בעיקר הבנקים הקטנים עושים עבודה טובה ואילו הבנקים הגדולים ושלושת חברות האשראי – פחות… מעניין למה…

מספר תובנות ראשוניות וכלליות מתוך הממצאים של הגרסה הראשונה של הקובץ (נבדקו 35 אתרים):
– בצד החיובי לא נמצא אף אתר שעדיין עושה שימוש ב-SSL מגרסה כלשהי
השאר פחות חיובי…
– 22 אתרים (62%!) כלל לא עושים שימוש באפשרות של Forward secrecy (להלן FS), אשר מעלה באופן דרמטי את רמת ההצפנה, והרי מדובר רק בהפעלת Ciphers מתאימים והצבתם בראש רשימת פרוטוקולי ההצפנה של השרת (אם כי ייתכנו השלכות על ביצועי העיבוד של השרת)
– 8 אתרים (22%) בכלל לא תומכים בגרסה העדכנית ביותר של TLS, גרסה 1.2. למה? לא ברור
– 7 אתרים (20%) בכלל לא תומכים בגרסה 1.1 של TLS. למה? לא ברור. 6 מתוכם גם לא תומכים בגרסה 1.2, כלומר בעצם הסתפקו רק בגרסה 1.0 של TLS…
– 3 אתרים (8%) פגיעים להתקפת POODLE ב-TLS
– 8 אתרים (22%) עדיין משתמשים ב-Ciphers של RC4
– יש אתרים בודדים שתומכים רק ב-Cipher אחד. יחיד ובודד. מדהים.
– יש מספר אתרים שמפעילים רק מספר Ciphers בודדים. גם מדהים.
– 26 אתרים (74%) בכלל לא משתמשים ב-Response Header של HSTS אשר בעזרתו השרת מורה לדפדפן להתחבר אליו אך ורק בקישור מוצפן על בסיס HTTPS

בראיה כללית – התפלגות הציונים המסכמים לאתרים היא כדלהלן:
+A‎‏ – ‏2 אתרים (5%)
A‎‏ – ‏2 אתרים (5%)
-A‎‏ – ‏5 אתרים (14%)
B – ‏5 אתרים (14%)
C‏ – ‏18 אתרים (51%!)
F‏ – ‏3 אתרים (8%)
(סכום חיבור האחוזים מביא לסכום של 97% בשל עיגול חישובי האחוזים כלפי מטה לאחוז השלם הקרוב)

אשמח אם תפיצו את הידיעה אודות קיום הפרויקט הזה והקובץ הזה, בייחוד למי שלדעתכם יכולים להניע לשיפור המצב – אני מקווה שביחד נוכל לשפר את המצב.

אם תרצו ליצור עמי קשר בנוגע לפרויקט הזה – אפשר לעשות זאת דרך הטופס המתאים באתר זה

שיהיה לנו בהצלחה!

עדכונים:
18/3/17 – הוספתי עמוד פייסבוק לפרויקט, משם גם ניתן יהיה להתעדכן
18/6/17 – הכנתי פוסטים גם באנגלית אודות הפרויקט, כולל גרסאות 1 ו-2 של הקובץ עד כה. יש פוסט בבלוג האבט"מ שלי באנגלית, וגם יש פוסט בלינקדאין. אתם מוזמנים להפנות למיקומים הנ"ל דוברי אנגלית רלוונטים לנושא. תודה!