27Jul
HTTPS, das SSL verwendet, bietet Identitätsprüfung und Sicherheit, so dass Sie wissen, dass Sie mit der richtigen Website verbunden sind und niemand Sie belauschen kann. Das ist sowieso die Theorie. In der Praxis ist SSL im Web eine Art Chaos.
Das bedeutet nicht, dass HTTPS und SSL-Verschlüsselung wertlos sind, da sie definitiv viel besser sind als unverschlüsselte HTTP-Verbindungen. Selbst im schlimmsten Fall ist eine kompromittierte HTTPS-Verbindung nur so unsicher wie eine HTTP-Verbindung.
Die schiere Anzahl der Zertifizierungsstellen
Ihr Browser verfügt über eine integrierte Liste vertrauenswürdiger Zertifizierungsstellen. Browser vertrauen nur Zertifikaten, die von diesen Zertifizierungsstellen ausgestellt wurden. Wenn Sie https://example.com besucht haben, stellt der Webserver von example.com ein SSL-Zertifikat für Sie bereit, und Ihr Browser überprüft, ob das SSL-Zertifikat der Website für example.com von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Wenn das Zertifikat für eine andere Domäne ausgestellt wurde oder wenn es nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, wird in Ihrem Browser eine schwerwiegende Warnung angezeigt.
Ein großes Problem besteht darin, dass es so viele Zertifizierungsstellen gibt, dass Probleme mit einer Zertifizierungsstelle alle betreffen können. Sie können beispielsweise ein SSL-Zertifikat für Ihre Domain von VeriSign erhalten, aber jemand könnte eine andere Zertifizierungsstelle kompromittieren oder überlisten und auch ein Zertifikat für Ihre Domain erhalten.
Zertifizierungsstellen haben das Vertrauen nicht immer inspiriert
Studien haben ergeben, dass einige Zertifizierungsstellen selbst bei der Ausstellung von Zertifikaten nicht einmal die geringste Sorgfaltspflicht erfüllt haben. Sie haben SSL-Zertifikate für Adresstypen ausgestellt, die niemals ein Zertifikat benötigen, z. B. "localhost", das immer den lokalen Computer darstellt. Im Jahr 2011 fand die EFF über 2000 Zertifikate für "localhost", die von legitimen, vertrauenswürdigen Zertifizierungsstellen ausgestellt wurden.
Wenn vertrauenswürdige Zertifizierungsstellen so viele Zertifikate ausgestellt haben, ohne zu überprüfen, dass die Adressen überhaupt gültig sind, ist es nur natürlich, sich zu fragen, welche anderen Fehler sie begangen haben. Vielleicht haben sie auch Angreifern nicht autorisierte Zertifikate für die Websites anderer Leute ausgestellt.
Extended Validation-Zertifikate oder EV-Zertifikate versuchen, dieses Problem zu lösen. Wir haben die Probleme mit SSL-Zertifikaten behandelt und wie EV-Zertifikate versuchen, sie zu lösen.
Certificate Authorities könnten gefälschte Zertifikate ausstellen
Da es so viele Zertifizierungsstellen gibt, dass sie überall auf der Welt sind und jede Zertifizierungsstelle ein Zertifikat für jede Website ausstellen kann, könnten Regierungen die Zertifizierungsstellen dazu zwingen, ihnen ein SSL-Zertifikat auszustellenfür eine Site, die sie imitieren wollen.
Dies geschah wahrscheinlich kürzlich in Frankreich, wo Google ein Rogue-Zertifikat für google.com entdeckt hatte, das von der französischen Zertifizierungsstelle ANSSI ausgestellt wurde. Die Behörde hätte es der französischen Regierung oder sonst wem erlaubt, sich als Google-Website auszugeben und Man-in-the-Middle-Angriffe leicht durchzuführen. ANSSI behauptete, das Zertifikat werde nur in einem privaten Netzwerk verwendet, um auf die eigenen Benutzer des Netzwerks zuzugreifen, nicht durch die französische Regierung. Selbst wenn dies der Fall wäre, wäre dies ein Verstoß gegen ANSSIs eigene Richtlinien bei der Ausstellung von Zertifikaten.
Perfect Forward Secrecy wird nicht überall verwendet
Viele Websites verwenden keine "Perfect Forward Secrecy", eine Technik, die die Verschlüsselung schwieriger zu knacken würde. Ohne perfekte Geheimhaltung könnte ein Angreifer eine große Menge verschlüsselter Daten erfassen und alles mit einem einzigen geheimen Schlüssel entschlüsseln. Wir wissen, dass die NSA und andere staatliche Sicherheitsbehörden auf der ganzen Welt diese Daten erfassen. Wenn sie Jahre später den von einer Website verwendeten Verschlüsselungsschlüssel entdecken, können sie damit alle verschlüsselten Daten entschlüsseln, die sie zwischen dieser Website und allen mit ihr verbundenen Daten gesammelt haben.
Perfect Forward Secrecy schützt dagegen, indem für jede Sitzung ein eindeutiger Schlüssel generiert wird. Mit anderen Worten, jede Sitzung ist mit einem anderen geheimen Schlüssel verschlüsselt, sodass sie nicht alle mit einem einzigen Schlüssel entsperrt werden können. Dies verhindert, dass jemand eine große Menge verschlüsselter Daten auf einmal entschlüsselt. Da nur sehr wenige Websites diese Sicherheitsfunktion nutzen, ist es wahrscheinlicher, dass staatliche Sicherheitsbehörden all diese Daten in der Zukunft entschlüsseln können.
Mann in den mittleren Angriffen und Unicode-Charaktere
Leider sind Man-in-the-Middle-Angriffe mit SSL noch möglich. Theoretisch sollte es sicher sein, sich mit einem öffentlichen Wi-Fi-Netzwerk zu verbinden und auf die Website Ihrer Bank zuzugreifen. Sie wissen, dass die Verbindung sicher ist, da sie über HTTPS erfolgt, und die HTTPS-Verbindung hilft Ihnen auch zu überprüfen, ob Sie tatsächlich mit Ihrer Bank verbunden sind.
In der Praxis kann es gefährlich sein, in einem öffentlichen Wi-Fi-Netzwerk eine Verbindung zur Website Ihrer Bank herzustellen. Es gibt Standardlösungen, bei denen ein böswilliger Hotspot Man-in-the-Middle-Angriffe auf Personen ausführen kann, die eine Verbindung zu ihm herstellen. Beispielsweise könnte ein Wi-Fi-Hotspot in Ihrem Namen eine Verbindung zur Bank herstellen, indem er Daten hin und her sendet und in der Mitte sitzt. Es könnte Sie schleichend auf eine HTTP-Seite umleiten und mit HTTPS in Ihrem Namen eine Verbindung zur Bank herstellen.
Es könnte auch eine "Homograph-ähnliche HTTPS-Adresse" verwendet werden. Dies ist eine Adresse, die auf dem Bildschirm mit der Ihrer Bank identisch ist, die aber spezielle Unicode-Zeichen verwendet, so dass sie anders ist. Diese letzte und gruseligste Art von Angriff ist als ein internationalisierter Domain-Name-Homograph-Angriff bekannt. Untersuchen Sie den Unicode-Zeichensatz und Sie werden Zeichen finden, die im Wesentlichen mit den 26 Zeichen des lateinischen Alphabets identisch sind. Vielleicht sind die o's in der google.com, mit der du verbunden bist, nicht wirklich o's, sondern andere Charaktere.
Wir haben dies ausführlicher behandelt, als wir die Gefahren eines öffentlichen Wi-Fi-Hotspots angeschaut haben.
Natürlich funktioniert HTTPS die meiste Zeit gut. Es ist unwahrscheinlich, dass Sie einen so cleveren Man-in-the-Middle-Angriff erleben, wenn Sie ein Café besuchen und sich mit dem WLAN verbinden. Der wahre Punkt ist, dass HTTPS einige ernsthafte Probleme hat. Die meisten Menschen vertrauen darauf und sind sich dieser Probleme nicht bewusst, aber sie ist nicht annähernd perfekt.
Bildkredit: Sarah Joy
