27Jul

5 rimtų problemų su HTTPS ir SSL apsauga internete

problemos su-https-and-ssl-šifravimu

HTTPS, kuris naudoja SSL, pateikia asmens tapatybės patvirtinimą ir saugumą, todėl jūs žinote, kad esate prisijungę prie tinkamos svetainės ir niekas negali pasiklausyti. Tai teorija vistiek. Praktiškai SSL žiniatinklyje yra natūra netvarka.

Tai nereiškia, kad HTTPS ir SSL šifravimas yra beverčiai, nes jie tikrai gerokai patys nei naudojant nešifruotus HTTP ryšius. Net blogiausiu atveju, sutrikdytas HTTPS ryšys bus tik toks pat nesaugus kaip HTTP ryšys.

Didžiausias sertifikatų įstaigų skaičius

Jūsų naršyklė turi įmontuotą patikimų sertifikatų tarnybų sąrašą.Naršyklės tik pasitiki sertifikatais, išduodamais šių sertifikatų institucijų.Jei apsilankėte https://example.com, žiniatinklio serveris example.com pateiktų jums SSL sertifikatą, o jūsų naršyklė patikrins, ar tinklalapio SSL sertifikatas išduotas, pavyzdžiui.com, patikimos sertifikavimo institucijos. Jei sertifikatas buvo išduotas kitam domenui arba jis nebuvo išduotas patikimos sertifikavimo institucijos, jūsų naršyklėje rodomas rimtas įspėjimas.

Viena iš pagrindinių problemų yra ta, kad egzistuoja tiek daug sertifikatų institucijų, todėl problemų su viena sertifikatų institucija gali turėti įtakos visiems. Pvz., "VeriSign" galite gauti savo domeno SSL sertifikatą, tačiau gali pakenkti ar sugadinti kitą sertifikavimo įstaigą ir gauti jūsų domeno sertifikatą.

patikimos šaknies sertifikavimo institucijos

sertifikatų institucijos dar ne visuomet įkvėpė pasitikėjimą.

tyrimai parodė, kad kai kurios sertifikatų institucijos, išduodamos sertifikatus, nepadarė net minimalaus deramo patikrinimo. Jie išdavė SSL sertifikatus adresų tipams, kuriems niekada nereikėtų gauti sertifikato, pvz., "Localhost", kuris visada reiškia vietinį kompiuterį.2011 m. EŽF surinko daugiau kaip 2000 sertifikatų "localhost", kuriuos išdavė teisėtos patikimos sertifikavimo institucijos.

Jei patikimos sertifikavimo institucijos išduoda tiek daug sertifikatų, neužtikrinęs, kad adresai netgi yra galiojantys pirmiausia, tai tik natūralu įdomu, kokių kitų klaidų jie padarė.Galbūt jie taip pat išdavė neautorizuotus sertifikatus kitų žmonių tinklalapiams užpuolikams.

Extended Validation sertifikatai arba EV sertifikatai bando išspręsti šią problemą.Mes aptikome SSL sertifikatų problemas ir kaip EV sertifikatai bando juos išspręsti.

sertifikatų institucijos gali būti priverstos išduoti netinkamus sertifikatus

Kadangi yra tiek daug sertifikatų institucijų, jie yra visame pasaulyje, o bet kuri sertifikatų institucija gali išduoti bet kurios svetainės sertifikatą, vyriausybės galėtų priversti sertifikatų institucijas išduoti jiems SSL sertifikatąuž svetainę, kurią jie nori apsimesti.

Tai tikriausiai atsitiko neseniai Prancūzijoje, kur "Google" atrado nesąžiningą "google.com" sertifikatą išdavė Prancūzijos sertifikavimo institucija ANSSI.Institucija būtų leidusi Prancūzijos vyriausybei ar visam kitam asmeniui įtvirtinti "Google" svetainę, lengvai atliekančią išpuolius tarp žmonių.ANSSI teigė, kad šis sertifikatas buvo naudojamas tik privačiame tinkle, siekiant išgirsti savo tinklo naudotojus, o ne Prancūzijos vyriausybę.Net jei tai būtų tiesa, išduodant sertifikatus tai būtų ANSSI pačios politikos pažeidimas.

google-anssi-rogue-certificate-france

"Perfect Forward Secrecy" nėra naudojamas visur

Daugelyje svetainių netaikoma "tobulo paslėpimo iš anksto" metodas, dėl kurio šifravimas būtų sunkesnis. Neturėdami tobulos paslapties, užpuolikas gali užfiksuoti didelį kiekį užšifruotų duomenų ir iššifruoti visus su vienu slaptu raktu. Mes žinome, kad NSA ir kitos valstybės saugumo agentūros visame pasaulyje surenka šiuos duomenis. Jei jie atranda šifravimo raktą, kurį svetainė naudoja daugelį metų, jie gali jį naudoti, kad būtų iššifruoti visi šifruojami duomenys, kuriuos jie surinko tarp šios svetainės ir visų su juo susietų.

"Perfect forward" slaptumas padeda apsaugoti nuo jo, sukuriant unikalų raktą kiekvienai sesijai. Kitaip tariant, kiekviena sesija yra užšifruojama su skirtingu slaptu raktu, todėl jų negalima atrakinti vienu mygtuku. Tai neleidžia asmeniui iš karto iššifruoti daug šifruotų duomenų.Kadangi labai mažai svetainių naudoja šią saugumo funkciją, labiau tikėtina, kad valstybės saugumo agentūros ateityje galėtų iššifruoti visus šiuos duomenis.

vyriausiasis atakas ir unikodo simboliai

Deja, "man-in-the-middle" išpuoliai vis dar įmanomi naudojant SSL.Teoriškai turėtų būti saugu prisijungti prie viešojo "Wi-Fi" tinklo ir pasiekti banko svetainę.Jūs žinote, kad ryšys yra saugus, nes jis per HTTPS, o HTTPS ryšys taip pat padeda patvirtinti, kad esate prijungtas prie jūsų banko.

Praktiškai gali būti pavojinga prisijungti prie banko interneto svetainės viešuoju "Wi-Fi" tinklu. Yra netvarkingų sprendimų, kurie gali sukelti piktybišką "hotspot", kad žmonės, kurie prie jo prisijungs, atliktų "žmogžudysčių" užpuolimus. Pavyzdžiui, "Wi-Fi" viešosios interneto prieigos taškas gali prisijungti prie banko jūsų vardu, siunčiant duomenis atgal ir į apačią bei sėdi viduryje. Tai gali nuversti jus į HTTP puslapį ir prisijungti prie banko naudodami HTTPS jūsų vardu.

Jis taip pat gali naudoti "homografo panašų HTTPS adresą". Tai yra adresas, kuris ekrane atrodo taip pat, kaip ir jūsų bankas, tačiau iš tikrųjų jis naudoja specialius Unicode simbolius, taigi jis skiriasi. Tai paskutinis ir baisiausias atakos tipas yra žinomas kaip tarptautinio domeno vardo homografijos ataka. Išnagrinėkite "Unicode" simbolių rinkinį ir pamatysite simbolius, iš esmės panašius į 26 simbolius, kurie naudojami lotyniškoje abėcėlėje. Gali būti, kad "google" svetainėje, prie kurio esate prisijungę, "o" neveikia "o", bet yra kitų simbolių.

Šią informaciją mes išsamiai aptarėme, kai pažvelgėme į pavojus, kad naudosite viešąjį "Wi-Fi" prieigos tašką .

Idn-homografo ataka

Žinoma, daugeliu atvejų HTTPS veikia puikiai. Mažai tikėtina, kad aplankysite kavos parduotuvę ir prisijungsite prie savo "Wi-Fi", kai susidursite su tokiu protingu "atakoje".Tikras dalykas yra tai, kad "HTTPS" turi keletą rimtų problemų.Daugelis žmonių pasitiki šiais klausimais ir nežino apie šias problemas, tačiau tobulai nėra.

Image Credit: Sarah Joy