27Jul
HTTPS pakub isikutuvastust ja turvalisust, nii et teate, et olete ühendatud õige veebisaidiga ja keegi ei saa teile üle kuulata. Igatahes on see teooria. Praktikas on SSL-i veebis selline segadus.
See ei tähenda, et HTTPS ja SSL-krüpteerimine oleksid väärtusetud, kuna need on kindlasti palju paremad kui krüptitud HTTP-ühendused. Isegi halvima stsenaariumi korral on kompromiteeritud HTTPS-ühendus alles ebakindel kui HTTP-ühendus.
Sertifitseerimisasutuste suur arv
Teie brauseril on usaldusväärsete sertifikaadiasutuste sisseehitatud nimekiri. Brauserid usaldavad ainult sertifikaadi väljaandja poolt väljastatud sertifikaate. Kui külastasite aadressi https://example.com, kuvab veebisaidi example.com veebisait example.com teile SSL-sertifikaadi ja teie brauser kontrollib veebisaidi SSL-sertifikaadi näiteks example.com-le usaldusväärse sertifikaadi asutuse poolt. Kui sertifikaat anti välja mõnele teisele domeenile või kui see ei ole välja antud usaldusväärse sertifikaadi asutuse kaudu, näete brauseris tõsist hoiatust.
Üks suur probleem on see, et sertifitseerimisasutused on nii paljud, nii et ühe sertifitseerimisasutuse probleemid võivad kõigile mõjutada. Näiteks võite saada oma domeenilt SSL-sertifikaadi VeriSignilt, kuid keegi võib kompenseerida või trikistada mõnda teist sertifitseerimisasutust ja saada teie domeenile ka sertifikaadi.
sertifikaadiasutused ei ole alati usaldanud usaldust
uuringud on leidnud, et mõned sertifikaadi asutused ei ole sertifikaatide väljastamisel isegi minimaalset hoolikust läbi viinud. Nad on väljastanud SSL-sertifikaate selliste aadresside tüüpide jaoks, mille puhul ei tohiks kunagi nõuda sertifikaati, näiteks kohalikku hotsertit, mis esindab alati kohalikku arvutit.2011. aastal leidis EKF enam kui 2000 sertifikaati kohaliku hooaja jaoks, mille on välja andnud seaduslikud usaldusväärsed sertifikaadiasutused.
Kui usaldusväärsed sertifikaadiasutused on välja andnud nii palju sertifikaate, ilma et oleks tõendatud, et aadressid on esiteks isegi kehtivad, on loomulik, et ei tea, milliseid muid vigu nad on teinud. Võimalik, et nad on ka ründajatele andnud lubamatuid sertifikaate teiste inimeste veebisaitidele.
laiendatud valideerimistunnistused või EV-sertifikaadid proovivad seda probleemi lahendada. Oleme ka SSL-sertifikaatidega seotud probleemid ja kuidas EV-sertifikaadid püüavad neid lahendada.
sertifikaadiasutused võivad olla sunnitud võltsitud sertifikaatide väljaandmiseks
Kuna sertifitseerimisasutused on nii palju, on nad kõikjal maailmas ja sertifitseerimisasutus võib välja anda sertifikaadi igale veebisaidile; valitsused võivad sundida sertifikaadi välja andma neile SSL-sertifikaadisaidi jaoks, mida nad soovivad kujutada.
See ilmselt juhtus hiljuti Prantsusmaal, kus Google avastas google.com-i petturitunnistuse, mille on väljastanud Prantsuse sertifitseerimisasutus ANSSI.Ametiasutus oleks lubanud Prantsuse valitsusel või muul sellel oleval isikul olla Google'i veebisaidil, kes hõlpsalt sooritaksid käsikirjalisi rünnakuid. ANSSI väitis, et sertifikaati kasutati ainult privaatvõrgus, et oma võrgu enda kasutajatele, mitte Prantsuse valitsusele teada saada. Isegi kui see oleks tõsi, oleks sertifikaatide väljaandmisel tegemist ANSSI enda eeskirjade rikkumisega.
Perfect Forward Secrecy ei kasutata kõikjal
Paljud saidid ei kasuta "perfektset edaspidist saladust" - tehnikat, mis muudaks krüpteerimise keerulisemaks. Ilma täiusliku edaspidise saladuseta võib ründaja koguda suures koguses krüpteeritud andmeid ja dekrüpteerida see kõik ühe salajase võtmega. Me teame, et NSA ja teised riigi julgeolekuagentuurid kogu maailmas koguvad neid andmeid. Kui nad avastavad veebisaidil aastaid hiljem kasutatud krüpteerimisvõtme, saavad nad seda kasutada, et dekrüpteerida kõik krüptitud andmed, mille nad kogusid selle veebisaidi ja selle vahel, kellega see on ühendatud.
Täiuslik tagasiside saladus aitab seda kaitsta, genereerides iga seansi jaoks unikaalse võtme. Teisisõnu, iga seanss krüpteeritakse erineva salajase võtmega, nii et neid kõiki ei saa ühe võtmega lahti lukustada. See takistab kedagi ühegi krüpteeritud andmete dekrüpteerimise eest korraga. Kuna väga vähesed veebisaidid kasutavad seda turvafunktsiooni, on tõenäolisem, et riigi julgeolekuagentuurid saaksid kõik need andmed edaspidi ka krüpteerida.
Mees keskahes rünnakutes ja Unicode märgid
Kahjuks on SSL-i abil endiselt võimalikud rünnakuhinnad. Teoreetiliselt peaks see olema turvaline ühenduse loomiseks avaliku Wi-Fi-võrguga ja pääseda juurde oma panga saidile. Teate, et ühendus on turvaline, kuna see on üle HTTPS-i ja HTTPS-i ühendus aitab teil kontrollida, kas olete teie pangaga tegelikult ühendatud.
Praktikas võib ohtlik olla pankade veebisaidil avaliku Wi-Fi-võrguühendus. Seal on lahendusi, mis võivad olla pahatahtlik hotspot, et teha inimestele, kes sellega ühendavad, rünnakutega inimesi. Näiteks võib Wi-Fi hotspot teie nimel pangaga ühendust võtta, saates andmeid edasi-tagasi ja keskel istudes. See võib sneakly suunata teid HTTP-lehele ja ühendada pangaga teie nimel HTTPS-iga.
See võib kasutada ka homograafilises sarnasel HTTPS-aadressil. See on aadress, mis näeb ekraanil välja samasugune nagu teie pank, kuid mis tegelikult kasutab Unicode'i erilisi märke, nii et see on teistsugune. See viimane ja kõige ohtlikum rünnaku tüüp on tuntud kui rahvusvahelistunud domeeninime homograafi rünnak. Uurige Unicode märgistikku ja leiate märkide, mis näivad olevat sisuliselt identsed ladina tähestikus kasutatud 26 tähemärgiga. Võib-olla on ometi aadressil google.com, millega olete ühendatud, o tegelikult mitte o, kuid on ka teisi märke.
Me käsitleme seda üksikasjalikumalt, kui vaatasime -d avaliku Wi-Fi hotspot kasutamise ohud.
Muidugi töötab HTTPS enamikel juhtudel. On ebatõenäoline, et külastate kohviku sisse ja ühendate oma Wi-Fi-ga sellist nutikat inimest-keset rünnakut. Tõsiasi on see, et HTTPS-il on mõningaid tõsiseid probleeme. Enamik inimesi usaldab seda ja ei ole neist probleemidest teadlik, kuid see pole peaaegu täiuslik.
piltkrediit: Sarah Joy