27Jul
HTTPS, joka käyttää SSL: tä, tarjoaa tunnistusta ja turvallisuutta, joten tiedät, että olet yhteydessä oikeaan verkkosivustoon, eikä kukaan voi salakuunnella sinua. Se on kuitenkin teoria. Käytännössä SSL verkossa on eräänlainen sotku.
Tämä ei tarkoita sitä, että HTTPS- ja SSL-salaus ovat arvottomia, koska ne ovat varmasti paljon parempia kuin salaamattomien HTTP-yhteyksien käyttäminen. Jopa pahimmassa tapauksessa vaarantunut HTTPS-yhteys on niin epävarmaa kuin HTTP-yhteys.
Sertifikaatin myöntäjien määrä
Selaimessasi on sisäänrakennettu luotettujen varmentajien luettelo. Selaimet luottaa vain näiden varmenteiden myöntäjien antamiin todistuksiin. Jos olet vieraillut osoitteessa https://example.com, verkkosivustossa osoitteessa example.com näyttäisi SSL-sertifikaatin ja selaimesi tarkistaisi, että luotettu varmentaja on antanut verkkosivuston SSL-sertifikaatin esimerkille.fi. Jos sertifikaatti on myönnetty toiselle verkkotunnukselle tai jos sitä ei ole myöntänyt luotettava varmentaja, näet vakavan varoituksen selaimessasi.
Yksi tärkeimmistä ongelmista on se, että on olemassa monia todistusviranomaisia, joten yhden varmenneviranomaisen ongelmat voivat vaikuttaa kaikkiin. Saat esimerkiksi SSL-sertifikaatin verkkotunnuksestasi VeriSignista, mutta joku saattaa vaarantaa tai varastaa toisen varmenneviranomaisen ja hankkia sertifikaatin verkkotunnuksellesi.
-sertifikaatin myöntäjät eivät ole aina innoittaneet luottamusta
Tutkimukset ovat todenneet, että jotkut sertifikaattien viranomaiset eivät ole tehneet jopa vähäistä due diligenceä todistusten myöntämisen yhteydessä.He ovat antaneet SSL-sertifikaatit osoitetyypeille, jotka eivät koskaan saisi edellyttää todistusta, kuten "localhost", joka aina edustaa paikallista tietokonetta. Vuonna 2011 EFF löysi laillisten, luotettavien varmentajien myöntämät "localhost" -todistukset yli 2000.
Jos luotettavien varmenteen myöntäjät ovat antaneet niin monta varmennetta varmistamatta, että osoitteet ovat edes päteviä, on luonnollista ihmetellä, mitä muita virheitä he ovat tehneet. Ehkä he ovat myös myöntäneet luvattomia todistuksia muiden ihmisten verkkosivustoille hyökkääjille.
Extended Validation certificates tai EV-todistukset yrittää ratkaista tämän ongelman. Olemme selvittäneet SSL-varmenteiden ongelmat ja miten EV-varmenteet yrittävät ratkaista ne.
-sertifikaatin myöntäjät saattavat joutua antamaan väärennettyjä sertifikaatteja
Koska niillä on niin monta varmenteen myöntävää viranomaista, ne ovat kaikkialla maailmassa ja kaikki varmenneviranomaiset voivat antaa todistuksen mille tahansa verkkosivustolle, hallitukset voivat pakottaa varmenneviranomaiset antamaan heille SSL-todistuksensivustolle, jonka he haluavat esiintyä.
Tämä tapahtui todennäköisesti äskettäin Ranskassa, jossa Google löysi rogue-todistuksen google.comille ranskalaisen varmenteen myöntäjän ANSSI.Viranomainen olisi antanut Ranskan hallitukselle tai kenelle tahansa muulle, että se olisi loukannut Googlen verkkosivustoa ja pystynyt suorittamaan keskenään miehiä.ANSSI väitti, että sertifikaattia käytettiin vain yksityisverkossa verkon omista käyttäjille, eikä Ranskan hallitukselle. Vaikka tämä olisikin totta, se olisi vastoin ANSSI: n omia käytäntöjä todistusten myöntämisen yhteydessä.
Perfect Forward Secrecy ei ole käytössä kaikkialla
Monet sivustot eivät käytä "täydellistä salassapitovelvollisuutta", tekniikkaa, joka vaikeuttaisi salauksen purkamista. Ilman täydellistä salassapitovelvollisuutta hyökkääjä voi kaapata suuren määrän salattua dataa ja purkaa sen kaiken yhdellä salaisella avaimella. Tiedämme, että NSA ja muut valtion turvallisuusjärjestöt ympäri maailmaa ovat kaappaamaan nämä tiedot. Jos he löytävät verkkosivuston käyttämän salausavain vuotta myöhemmin, he voivat käyttää sitä purkamaan kaikki salatut tiedot, jotka he ovat keränneet kyseisen sivuston ja kaikkien siihen liitettyjen tietojen välillä.
Täydellinen salakuuntelu auttaa suojaamaan tätä luomalla ainutlaatuisen avaimen jokaiselle istunnolle. Toisin sanoen jokainen istunto salataan eri salaisella avaimella, joten niitä ei voi avata yhdellä avaimella. Tämä estää jonkun salaamasta valtavan määrän salattuja tietoja kerralla. Koska hyvin harvat sivustot käyttävät tätä tietoturvaominaisuutta, on todennäköisempää, että valtion turvallisuusviranomaiset voisivat purkaa kaikki nämä tiedot tulevaisuudessa.
Man in Middle Attacks ja Unicode-merkkejä
Valitettavasti keskitetyillä ihmisillä tehtävät hyökkäykset ovat edelleen mahdollisia SSL: n avulla. Teoriassa pitäisi olla turvallista muodostaa yhteyden julkiseen Wi-Fi-verkkoon ja käyttää pankkisi sivustoa. Tiedät, että yhteys on turvallinen, koska se on HTTPS: n yläpuolella, ja HTTPS-yhteys auttaa myös varmistamaan, että olet itse liitettynä pankkiisi.
Käytännössä voi olla vaarallista liittyä pankin verkkosivustoon julkisella Wi-Fi-verkolla. On olemassa hyllyratkaisuja, joilla voi olla haitallinen hotspot suorittaa ihmisen keskellä olevia hyökkäyksiä ihmisiin, jotka liittyvät siihen. Esimerkiksi Wi-Fi-hotspot voi muodostaa yhteyden pankkiin puolestasi, lähettää tietoja edestakaisin ja istua keskellä.Se voi ohjata sinut HTTP-sivulle ja muodostaa yhteyden pankkiin HTTPS-palvelulla puolestasi.
Se voi käyttää myös "homogrammi-vastaavaa HTTPS-osoitetta". Tämä on osoite, joka näyttää identtiseltä pankkisi näytöltä, mutta joka todella käyttää erityisiä Unicode-merkkejä, joten se on erilainen. Tämä viimeinen ja pelokkain hyökkäys tunnetaan kansainvälistetyksi verkkotunnusten homograafiksi hyökkäykseksi. Tutki Unicode-merkkijoukkoa ja löydät hahmoja, jotka näyttävät pohjimmiltaan samanlaisilta kuin latinalaisessa aakkosissa käytettävät 26 merkkiä.Ehkä o on google.com-sivustossa, johon olet yhteydessä, eivät ole oikeastaan o, vaan muita merkkejä.
Tarkastelimme tätä tarkemmin tarkastellessamme : tä julkisen Wi-Fi-hotspotin : n käytön vaaroista.
Tietenkin HTTPS toimii hyvin suurimman osan ajasta. On epätodennäköistä, että kohtaat tällaisen älykkään ihmisen keskellä olevan hyökkäyksen käymällä kahvilassa ja liittymällä Wi-Fi-verkkoon. Todellakin on, että HTTPS: llä on vakavia ongelmia. Useimmat ihmiset luottavat siihen ja eivät ole tietoisia näistä ongelmista, mutta se ei missään ole täydellistä.
Kuvapankki: Sarah Joy