27Jul
, yang menggunakan SSL, memberikan verifikasi identitas dan keamanan, sehingga Anda tahu bahwa Anda terhubung ke situs web yang benar dan tidak ada yang dapat menguping Anda. Begitulah teorinya. Dalam prakteknya, SSL di web agak berantakan.
Ini tidak berarti bahwa enkripsi HTTPS dan SSL tidak ada gunanya, karena harganya pasti jauh lebih baik daripada menggunakan koneksi HTTP yang tidak terenkripsi. Bahkan dalam skenario terburuk, koneksi HTTPS yang dikompromikan hanya akan sama tidak amannya seperti koneksi HTTP.
Jumlah Otoritas Sertifikat Sheer
Browser Anda memiliki daftar otoritas sertifikat tepercaya yang ada di dalamnya. Browser hanya mempercayai sertifikat yang dikeluarkan oleh otoritas sertifikat ini. Jika Anda mengunjungi https://example.com, server web di example.com akan menyajikan sertifikat SSL kepada Anda dan browser Anda akan memeriksa untuk memastikan sertifikat SSL di situs web dikeluarkan untuk example.com oleh otoritas sertifikat tepercaya. Jika sertifikat dikeluarkan untuk domain lain atau jika tidak dikeluarkan oleh otoritas sertifikat tepercaya, Anda akan mendapat peringatan serius di browser Anda.
Salah satu masalah utama adalah bahwa ada begitu banyak otoritas sertifikat, jadi masalah dengan satu otoritas sertifikat dapat mempengaruhi semua orang. Misalnya, Anda mungkin mendapatkan sertifikat SSL untuk domain Anda dari VeriSign, namun seseorang dapat berkompromi atau mengelabui otoritas sertifikat lainnya dan mendapatkan sertifikat untuk domain Anda juga. Otoritas Sertifikat
Tidak Selalu Terinspirasi Keyakinan
Studi telah menemukan bahwa beberapa otoritas sertifikat telah gagal melakukan due diligence minimal saat menerbitkan sertifikat. Mereka telah menerbitkan sertifikat SSL untuk jenis alamat yang seharusnya tidak memerlukan sertifikat, seperti "localhost", yang selalu mewakili komputer lokal. Pada tahun 2011, FPD menemukan lebih dari 2000 sertifikat untuk "localhost" yang dikeluarkan oleh otoritas sertifikat terpercaya yang sah.
Jika otoritas sertifikat terpercaya telah mengeluarkan begitu banyak sertifikat tanpa memverifikasi bahwa alamat tersebut bahkan berlaku di tempat pertama, wajar jika Anda bertanya-tanya kesalahan lain yang telah mereka buat. Mungkin mereka juga telah mengeluarkan sertifikat yang tidak sah untuk situs orang lain kepada penyerang. Sertifikat Extended Validation
, atau sertifikat EV, mencoba memecahkan masalah ini. Kami telah membahas masalah dengan sertifikat SSL dan bagaimana sertifikat EV berusaha menyelesaikannya. Otoritas Sertifikat
Mungkinkah Mengeluarkan Sertifikat Palsu
Karena ada begitu banyak otoritas sertifikat, semuanya ada di seluruh dunia, dan otoritas sertifikat manapun dapat mengeluarkan sertifikat untuk situs web manapun, pemerintah dapat memaksa pihak berwenang sertifikat untuk menerbitkan sertifikat SSL.untuk situs yang mereka ingin meniru.
Ini mungkin terjadi baru-baru ini di Prancis, di mana Google menemukan sebuah sertifikat nakal untuk google.com telah dikeluarkan oleh otoritas sertifikat ANSSI Prancis. Otoritas akan mengizinkan pemerintah Prancis atau siapa pun yang memilikinya untuk meniru situs web Google, dengan mudah melakukan serangan man-in-the-middle. ANSSI mengklaim bahwa sertifikat tersebut hanya digunakan di jaringan pribadi untuk mengintip pengguna jaringan sendiri, bukan oleh pemerintah Prancis. Kalaupun ini benar, itu akan menjadi pelanggaran terhadap kebijakan ANSSI saat menerbitkan sertifikat.
Kerahasiaan Teruskan Sempurna Tidak Digunakan Di Mana Saja
Banyak situs tidak menggunakan "kerahasiaan maju yang sempurna," teknik yang akan membuat enkripsi lebih sulit untuk dipecahkan. Tanpa kerahasiaan yang sempurna, penyerang bisa menangkap sejumlah besar data terenkripsi dan mendekripsi semuanya dengan satu kunci rahasia. Kami tahu bahwa NSA dan badan keamanan negara lainnya di seluruh dunia menangkap data ini. Jika mereka menemukan kunci enkripsi yang digunakan oleh situs web bertahun-tahun kemudian, mereka dapat menggunakannya untuk mendekripsi semua data terenkripsi yang telah mereka kumpulkan di antara situs web itu dan semua orang yang terhubung dengannya.
Kerahasiaan maju yang sempurna membantu melindungi terhadap hal ini dengan menghasilkan kunci unik untuk setiap sesi. Dengan kata lain, setiap sesi dienkripsi dengan kunci rahasia yang berbeda, sehingga tidak semua bisa dibuka dengan satu kunci. Hal ini mencegah seseorang untuk mendekripsi sejumlah besar data terenkripsi sekaligus. Karena sangat sedikit situs web yang menggunakan fitur keamanan ini, kemungkinan agen keamanan negara dapat mendekripsi semua data ini di masa mendatang.
Man in The Middle Attacks dan Karakter Unicode
Sayangnya, serangan man-in-the-middle masih dimungkinkan dengan SSL.Secara teori, sebaiknya aman terhubung ke jaringan Wi-Fi publik dan mengakses situs bank Anda. Anda tahu bahwa sambungannya aman karena sudah lewat HTTPS, dan koneksi HTTPS juga membantu Anda memverifikasi bahwa Anda benar-benar terhubung ke bank Anda.
Dalam prakteknya, berbahaya untuk terhubung ke situs web bank Anda di jaringan Wi-Fi publik. Ada solusi off-the-shelf yang bisa membuat hotspot berbahaya melakukan serangan man-in-the-middle pada orang-orang yang terhubung dengannya. Misalnya, hotspot Wi-Fi mungkin terhubung ke bank atas nama Anda, mengirim data bolak-balik dan duduk di tengah. Ini bisa dengan sembunyi mengalihkan Anda ke halaman HTTP dan terhubung ke bank dengan HTTPS atas nama Anda.
Ini juga bisa menggunakan "alamat homogen HTTPS serupa". Ini adalah alamat yang terlihat sama dengan bank Anda di layar, namun sebenarnya menggunakan karakter Unicode khusus sehingga berbeda. Serangan terakhir dan paling menakutkan ini dikenal sebagai serangan homonim nama domain. Periksa set karakter Unicode dan Anda akan menemukan karakter yang terlihat pada dasarnya sama dengan 26 karakter yang digunakan dalam alfabet Latin. Mungkin o di google.com yang terhubung dengan Anda sebenarnya bukan milik orang lain, tapi juga karakter lainnya.
Kami membahas hal ini secara lebih rinci saat kami melihat bahaya menggunakan hotspot Wi-Fi publik .
Tentu saja, HTTPS bekerja dengan baik hampir sepanjang waktu. Tidak mungkin Anda akan menghadapi serangan manus-tengah yang seram saat Anda mengunjungi kedai kopi dan terhubung ke Wi-Fi mereka. Poin sebenarnya adalah bahwa HTTPS memiliki beberapa masalah serius. Kebanyakan orang mempercayainya dan tidak menyadari masalah ini, tapi tidak ada tempat yang sempurna.
Image Credit: Sarah Joy