27Jul
HTTPS, che utilizza SSL, fornisce la verifica dell'identità e la sicurezza, in modo che tu sappia che sei connesso al sito web corretto e nessuno può intercettare te. Questa è la teoria, comunque. In pratica, SSL sul web è un po 'un casino.
Ciò non significa che la crittografia HTTPS e SSL siano prive di valore, in quanto sono decisamente migliori rispetto all'uso di connessioni HTTP non crittografate. Anche nel peggiore dei casi, una connessione HTTPS compromessa sarà meno sicura di una connessione HTTP.
Numero di autorità di certificazione puro
Il browser dispone di un elenco predefinito di autorità di certificazione attendibili. I browser si fidano solo dei certificati emessi da queste autorità di certificazione. Se hai visitato https://example.com, il server web all'indirizzo example.com ti consegnerà un certificato SSL e il tuo browser controllerà che il certificato SSL del sito Web sia stato rilasciato per esempio.com da un'autorità di certificazione attendibile. Se il certificato è stato emesso per un altro dominio o se non è stato emesso da un'autorità di certificazione attendibile, nel browser verrà visualizzato un avviso grave.
Uno dei problemi principali è che ci sono così tante autorità di certificazione, quindi i problemi con un'autorità di certificazione possono influenzare tutti. Ad esempio, potresti ottenere un certificato SSL per il tuo dominio da VeriSign, ma qualcuno potrebbe compromettere o ingannare un'altra autorità di certificazione e ottenere anche un certificato per il tuo dominio. Le autorità di certificazione
non hanno sempre ispirato la fiducia
Gli studi hanno rilevato che alcune autorità di certificazione non sono state in grado di eseguire la dovuta diligenza minima durante l'emissione dei certificati. Hanno emesso certificati SSL per tipi di indirizzi che non dovrebbero mai richiedere un certificato, come "localhost", che rappresenta sempre il computer locale. Nel 2011, il FEP ha rilevato oltre 2000 certificati per "localhost" emessi da autorità di certificazione legittime e attendibili.
Se le autorità di certificazione attendibili hanno rilasciato così tanti certificati senza verificare che gli indirizzi siano addirittura validi in primo luogo, è naturale chiedersi quali altri errori abbiano commesso. Forse hanno anche emesso certificati non autorizzati per i siti Web di altre persone agli aggressori. I certificati di convalida estesa
oi certificati EV tentano di risolvere questo problema. Abbiamo coperto i problemi con i certificati SSL e come i certificati EV tentano di risolverli. Le autorità di certificazione
potrebbero essere costrette a rilasciare certificati falsi
Poiché ci sono così tante autorità di certificazione, sono in tutto il mondo e qualsiasi autorità di certificazione può rilasciare un certificato per qualsiasi sito Web, i governi potrebbero obbligare le autorità di certificazione a rilasciare loro un certificato SSLper un sito che vogliono impersonare.
Questo probabilmente è successo di recente in Francia, dove Google ha scoperto che un certificato canaglia per google.com era stato rilasciato dall'autorità di certificazione francese ANSSI.L'autorità avrebbe permesso al governo francese oa chiunque altro avesse di impersonare il sito web di Google, eseguendo facilmente attacchi man-in-the-middle. L'ANSSI ha affermato che il certificato era utilizzato solo su una rete privata per indagare sugli utenti della rete, non dal governo francese. Anche se ciò fosse vero, sarebbe una violazione delle politiche di ANSSI durante l'emissione di certificati.
Perfect Forward Secrecy non viene utilizzato ovunque
Molti siti non utilizzano "il perfetto segreto avanzato", una tecnica che renderebbe la crittografia più difficile da decifrare. Senza una perfetta segretezza in avanti, un utente malintenzionato potrebbe acquisire una grande quantità di dati crittografati e decrittografarli tutti con una sola chiave segreta. Sappiamo che l'NSA e altre agenzie di sicurezza statali in tutto il mondo stanno acquisendo questi dati. Se scoprono la chiave di crittografia utilizzata da un sito Web anni dopo, possono utilizzarla per decrittografare tutti i dati crittografati che hanno raccolto tra quel sito Web e tutti coloro che sono connessi ad esso.
La perfetta sicurezza in avanti aiuta a proteggersi da ciò generando una chiave univoca per ogni sessione. In altre parole, ogni sessione viene crittografata con una chiave segreta diversa, in modo che non possano essere sbloccate tutte con una sola chiave. Ciò impedisce a qualcuno di decodificare un'enorme quantità di dati crittografati in una volta sola. Poiché pochissimi siti Web utilizzano questa funzionalità di sicurezza, è più probabile che le agenzie di sicurezza dello stato possano decrittografare tutti questi dati in futuro.
Man in the Middle Attacks e Unicode Characters
Purtroppo, gli attacchi man-in-the-middle sono ancora possibili con SSL.In teoria, dovrebbe essere sicuro connettersi a una rete Wi-Fi pubblica e accedere al sito della banca. Sai che la connessione è sicura perché è su HTTPS e la connessione HTTPS ti aiuta anche a verificare che tu sia effettivamente connesso alla tua banca.
In pratica, potrebbe essere pericoloso connettersi al sito Web della propria banca su una rete Wi-Fi pubblica. Esistono soluzioni off-the-shelf che possono far sì che un hotspot dannoso esegua attacchi man-in-the-middle sulle persone che si collegano ad esso. Ad esempio, un hotspot Wi-Fi potrebbe connettersi alla banca per conto dell'utente, inviando i dati avanti e indietro e sedendosi nel mezzo. Potrebbe reindirizzare di nascosto a una pagina HTTP e connettersi alla banca con HTTPS per tuo conto.
Potrebbe anche utilizzare un "indirizzo HTTPS simile a un omografo". Questo è un indirizzo che sembra identico a quello della tua banca sullo schermo, ma che in realtà utilizza caratteri Unicode speciali, quindi è diverso. Questo ultimo e più spaventoso tipo di attacco è noto come attacco di omografo con nomi di dominio internazionalizzati. Esaminare il set di caratteri Unicode e troverete caratteri che sembrano sostanzialmente identici ai 26 caratteri utilizzati nell'alfabeto latino. Forse gli o nel google.com a cui sei connesso non sono in realtà o, ma sono altri personaggi.
Abbiamo trattato questo aspetto in modo più dettagliato quando abbiamo esaminato i pericoli dell'utilizzo di un hotspot Wi-Fi pubblico .
Ovviamente, HTTPS funziona bene la maggior parte del tempo.È improbabile che ti imbatti in un attacco così furbo da uomo nel mezzo quando visiti un bar e ti connetti al loro Wi-Fi. Il punto reale è che HTTPS ha alcuni problemi seri. La maggior parte delle persone si fida di esso e non è a conoscenza di questi problemi, ma non è affatto perfetto. Immagine di
: Sarah Joy