27Jul

5 Ozbiljni problemi s HTTPS i SSL sigurnost na webu

problemi-s-https-a SSL šifriranje

HTTPS, koji koristi SSL, pruža provjeru identiteta i sigurnost, tako da znate da ste povezani s ispravnom web-lokacijom i da vas nitko ne može prisluškivati. U svakom slučaju to je teorija. U praksi, SSL na webu je vrsta nereda.

To ne znači da su HTTPS i SSL enkripcija bezvrijedni jer su definitivno puno bolji od korištenja nekriptiranih HTTP veza.Čak iu najgorem slučaju, ugrožena HTTPS veza bit će samo kao nesigurna kao HTTP veza.

Sheer broj ovlaštenih certifikata

Vaš preglednik ima ugrađeni popis pouzdanih ovlaštenika certifikata. Preglednici vjeruju samo certifikatima koje izdaju ovlašteni certifikati. Ako ste posjetili https://example.com, web poslužitelj na example.com predstavio bi vam SSL certifikat, a preglednik bi provjerio da je certificirani SSL certifikat web stranice izdan za example.com od strane pouzdane ovlasti certifikata. Ako je certifikat izdan za drugu domenu ili ako ga nije izdalo pouzdano tijelo za certifikat, vidjet ćete ozbiljno upozorenje u pregledniku.

Jedan od glavnih problema je taj što postoji toliko ovlaštenja za certifikaciju, tako da problemi s jednim ovlaštenim certifikatom mogu utjecati na sve. Na primjer, možda ćete dobiti SSL certifikat za svoju domenu iz VeriSign-a, no netko bi mogao ugroziti ili izigrati drugu autoritet certifikaciju i dobiti certifikat za svoju domenu.

pouzdanih-korijena certificiranja vlasti

ovlaštenja za izdavanje certifikata nisu uvijek potaknula povjerenje

Istraživanja su pokazala da neke vlasti certifikata nisu uspjele učiniti čak i minimalnu dubinsku analizu prilikom izdavanja certifikata. Izdali su SSL certifikate za vrste adresa koje nikada ne bi trebale zahtijevati certifikat, kao što je "localhost", što uvijek predstavlja lokalno računalo. U 2011. godini EFF je pronašao više od 2000 certifikata za "localhost" izdane od strane legitimnih, pouzdanih ovlaštenika certifikata.

Ako su pouzdani ovlašteni certifikati izdali toliko potvrda bez potvrde da su adrese uopće valjane, to je prirodno samo zapitati koje su druge pogreške napravili. Možda su i napadačima izdali neovlaštene certifikate za web stranice drugih ljudi.

Potvrde o valjanosti proširenja ili certifikati EV pokušavaju riješiti ovaj problem. Obuhvaćali smo probleme s SSL certifikatima i kako ih EV certifikat pokušava riješiti.

ovlaštene osobe za izdavanje certifikata mogu biti izdane za izdavanje lažnih certifikata

Budući da postoji toliko ovlaštenja za izdavanje certifikata, oni su diljem svijeta, a svako tijelo certifikata može izdati certifikat za bilo koju web stranicu, vlade bi mogle prisiliti ovlaštenja za izdavanje certifikata SSLza web mjesto koje žele lažno predstavljati.

To se vjerojatno dogodilo nedavno u Francuskoj, gdje je Google otkrio certifikat skitnica za google.com, izdala je francuska agencija za izdavanje certifikata ANSSI.Tijelo bi dopustilo da francuska vlada ili netko tko ga drugi ima za lažno predstavljanje Googleove web stranice, lako obavlja napade na čovjeka u sredini. ANSSI je tvrdio da je certifikat korišten samo na privatnoj mreži kako bi se skočio na vlastite korisnike mreže, a ne francuska vlada.Čak i ako je to istina, to bi bila kršenje vlastitih pravila ANSSI-a prilikom izdavanja potvrda.

Google-Anssi-skitnica potvrde Francuska

Savršena prednja tajna se ne koristi svugdje

Mnoge stranice ne koriste "savršenu tajnu budućnosti", tehniku ​​koja bi šifriranje otežalo ispucati. Bez savršene tajne naprijed, napadač može uhvatiti veliku količinu šifriranih podataka i dekriptirati ih sve jednim tajnim ključem. Znamo da NSA i ostale državne sigurnosne agencije diljem svijeta bilježe ove podatke. Ako otkriju ključ za šifriranje koje web site koristi kasnije godina, mogu je koristiti za dekriptiranje svih šifriranih podataka koje su prikupili između te web stranice i svima koji su povezani s njom.

Savršena tajnost naprijed pomaže u zaštiti od toga generiranjem jedinstvenog ključa za svaku sesiju. Drugim riječima, svaka sesija šifrirana je različitim tajnim ključem pa ih ne može sve otključati s jednim ključem. To sprječava netko od istovremenog dešifriranja ogromne količine šifriranih podataka. Budući da vrlo malo web stranica koristi ovu sigurnosnu značajku, vjerojatnije je da bi agencije državne sigurnosti mogle dešifrirati sve te podatke u budućnosti.

čovjek u srednjim napadima i Unicode likovi

Nažalost, SSL-ovi su još uvijek mogući napadi na čovjeka u sredini. Teoretski, trebalo bi biti sigurno povezivanje s javnom Wi-Fi mrežom i pristupanje web-lokaciji banke. Znaš da je veza sigurna jer prelazi HTTPS, a HTTPS veza također pomaže da provjerite jeste li zapravo povezani s bankom.

U praksi bi moglo biti opasno povezivanje s web stranicom vaše banke na javnoj Wi-Fi mreži. Postoje rješenja koja mogu imati zlonamjernu točku na kojoj se nalaze napadači koji se povezuju s njim. Na primjer, Wi-Fi hotspot može se povezati s bankom u vaše ime, slati podatke natrag i naprijed i sjediti u sredini. Moglo bi vas sneakily preusmjeriti na HTTP stranicu i povezati se s bankom s HTTPS-om u vaše ime.

Također može upotrijebiti "homogenu sličnu HTTPS adresu". To je adresa koja izgleda identična vašoj banci na zaslonu, ali koja zapravo koristi posebne Unicode znakove tako da je drugačija. Ova posljednja i najstrašnija vrsta napada poznata je kao internacionalizirani napad homograma domene. Pregledajte Unicode skup znakova i pronaći ćete znakove koji izgledaju u osnovi identični s 26 znakova koji se koriste u latiničnoj abecedi. Možda o o u google.com s kojom ste povezani zapravo nisu o, ali su drugi znakovi.

To smo detaljnije obradili kad smo pogledali opasnosti korištenja javne Wi-Fi hotspot .

IDN-homograf-napad

Naravno, HTTPS radi uglavnom većinu vremena. Malo je vjerojatno da ćete se susresti s takvim pametnim napadom čovjeka u sredini kada posjetite kafić i povežete se s Wi-Fi mrežom. Prava stvar je da HTTPS ima neke ozbiljne probleme. Većina ljudi to vjeruje i nisu svjesni tih problema, ali uopće nije savršena.

Kredit za slike: Sarah Joy