Qualys工程總監(jiān)Ivan Ristic稱對TLS 1.1和1.2版本的支持幾乎不存在�。
曾在八月黑帽大會上展示過自己發(fā)現(xiàn)的Ristic發(fā)現(xiàn)了其他證據(jù)證明網(wǎng)站通常會推遲SSL漏洞更新。他得分析指出有35%的網(wǎng)站不久前才為2009年9月就發(fā)現(xiàn)的TLS漏洞,而攻擊者可能利用這個漏洞將文本注入兩個SSL端點之間傳輸?shù)募用軘?shù)據(jù)中���。
Root 實驗室首席安全顧問Nate Lawson稱,研究指出升級TLS不是件容易的事情�,主要是因為幾乎每個修補都會影響到一些廣泛使用的應用或技術(shù)。最近添加到Chrome中的一項技術(shù)就顯著減少了網(wǎng)站與終端用戶間建立加密連接的時間����。
Duong和Rizzo認為還有更多例子。
“實際上����,我們從五月初就開始與瀏覽器和SSL供應商接觸,每個推薦的補丁與現(xiàn)有SSL應用多不兼容��,”Duong寫道�。“阻止人們更新的原因是許多網(wǎng)站和瀏覽器僅支持SSL 3.0和TLS 1.0。 如果有人將其網(wǎng)站完全升級到1.1或1.2�����,那就會喪失很多客戶�����。”
