27Jul
HTTPS, kas izmanto SSL, nodrošina identitātes pārbaudi un drošību, lai jūs zinātu, ka esat izveidojis savienojumu ar pareizo vietni, un neviens nevar aizmirst par jums. Tā ir šī teorija. Praksē SSL tīmeklī ir sava veida haoss.
Tas nenozīmē, ka HTTPS un SSL šifrēšana ir bezvērtīga, jo tie noteikti ir daudz labāki nekā nešifrētu HTTP savienojumu izmantošana. Pat sliktākajā gadījumā kompromitēts HTTPS savienojums būs tikpat nedrošs kā HTTP savienojums.
Lielākais sertifikātu iestāžu skaits
Jūsu pārlūkprogrammai ir iebūvēts uzticamu sertifikātu iestāžu saraksts. Pārlūkprogrammas uzticas tikai sertifikātiem, kurus izdevušas šīs sertifikātu iestādes. Ja apmeklējāt https://example.com, tīmekļa serveris example.com iesniegs jums SSL sertifikātu un jūsu pārlūkprogramma pārbaudīs, vai uzticama sertifikātu iestāde ir izsniegusi vietnes SSL sertifikātu example.com. Ja sertifikāts ir izsniegts citam domēnam vai ja to nav izdevusi uzticama sertifikāta iestāde, pārlūkā redzēsiet nopietnu brīdinājumu.
Viena no galvenajām problēmām ir tā, ka ir tik daudz sertifikātu iestāžu, tāpēc problēmas ar vienu sertifikātu iestādi var ietekmēt ikvienu. Piemēram, jūs varat saņemt SSL sertifikātu savam domēnam no VeriSign, bet kāds varētu kompromitēt vai sagrābt citu sertifikātu iestādi un iegūt sertifikātu arī jūsu domēnam.
sertifikātu iestādes vienmēr nav iedvesmojušas uzticību.
pētījumi ir atklājuši, ka dažas sertifikātu iestādes, izdodot sertifikātus, nav veikušas pat minimālu pienācīgu rūpību. Viņi ir izsnieguši SSL sertifikātus tādu adreses veidiem, kuriem nekad nevajadzētu pieprasīt sertifikātu, piemēram, "localhost", kas vienmēr ir vietējais dators.2011. gadā EZF atrada vairāk nekā 2000 sertifikātus vietējam serverim, ko izdevušas likumīgas uzticamas sertifikātu iestādes.
Ja uzticamās sertifikātu iestādes ir izsniegušas tik daudz sertifikātu, nepārbaudot, ka adreses ir pat derīgas vispirms, ir tikai dabiski uzzināt, kuras citas kļūdas viņi ir izdarījušas. Iespējams, ka viņi ir uzbrucējus arī izdevus nesankcionētus sertifikātus citu cilvēku vietnēm.
Extended Validation sertifikāti vai EV sertifikāti mēģina atrisināt šo problēmu. Mēs esam apskatījuši problēmas ar SSL sertifikātiem un to, kā EV sertifikāti mēģina tos novērst.
sertifikātu iestādes var piespiest izdot nepareizus sertifikātus
Tā kā ir tik daudz sertifikātu iestāžu, tās ir visā pasaulē, un jebkura sertifikātu iestāde var izsniegt sertifikātu jebkurai vietnei, valdības var piespiest sertifikātu iestādes izsniegt tām SSL sertifikātupar vietni, kuru viņi vēlas uzdoties.
Iespējams, ka tas nesen parādījās Francijā, kur Google atklāja negodīgu sertifikātu google.com, kuru izdevusi Francijas sertifikātu iestāde ANSSI.Iestāde būtu ļāvusi Francijas valdībai vai jebkuram citam to uzdoties par Google tīmekļa vietni, viegli izpildot vīriešu vidū uzbrukumus. ANSSI apgalvoja, ka sertifikāts tika izmantots tikai privātajā tīklā, lai uzraudzītu tīkla lietotājus, nevis Francijas valdību. Pat ja tas būtu taisnība, izsniedzot sertifikātus, tas būtu ANSSI pašu politikas pārkāpums.
Perfect Forward Secrets netiek izmantots visur
Daudzās vietnēs neizmanto "perfektu noslēpumu uz priekšu" - tādu paņēmienu, kas padarītu šifrēšanu grūtāk ielauzties. Bez perfekta nospieduma uz priekšu uzbrucējs varētu uzņemt lielu šifrētu datu daudzumu un atšifrēt visu ar vienu slepeno atslēgu. Mēs zinām, ka NSA un citas valsts drošības aģentūras visā pasaulē apkopo šos datus. Ja viņi atklāj tīmekļa vietnē izmantotās šifrēšanas atslēgas gadu vēlāk, viņi to var izmantot, lai atšifrētu visus šifrētos datus, ko viņi ir savākuši starp šo vietni un visiem, kas ar to ir saistīti.
Perfect nospiedumu nospiedums palīdz aizsargāt pret to, radot unikālu atslēgu katrai sesijai. Citiem vārdiem sakot, katra sesija tiek šifrēta ar citu slepeno atslēgu, tāpēc tos visus nevar atslēgt ar vienu taustiņu. Tas neļauj kādam nošifrēt lielu daudzumu šifrētu datu vienlaicīgi. Tā kā ļoti maz vietņu izmanto šo drošības funkciju, visticamāk, ka valsts drošības aģentūras nākotnē varētu atšifrēt visus šos datus.
cīņa ar vidējiem uzbrukumiem un unikoda rakstzīmes
Diemžēl ar SSL joprojām ir iespējami vīrusu uzbrukumi. Teorētiski būtu droši izveidot savienojumu ar publisko Wi-Fi tīklu un piekļūt jūsu bankas vietnei. Jūs zināt, ka savienojums ir drošs, jo tas pārsniedz HTTPS, un HTTPS savienojums arī palīdz jums pārbaudīt, vai faktiski ir izveidots savienojums ar jūsu banku.
Praksē publiskā Wi-Fi tīklā var būt bīstami pieslēgties jūsu bankas vietnei. Pastāv risinājumi bez risinājumiem, kuros var būt ļaunprātīga vietne, kurā tiek veikta man-in-the-centra uzbrukums tiem lietotājiem, kas ar to pieslēdzas. Piemēram, Wi-Fi vietrādis punkts var izveidot savienojumu ar banku jūsu vārdā, nosūtot datus uz priekšu un atpakaļ un sēžot vidū.Tas varētu sneakily novirzīt jūs uz HTTP lapu un izveidot savienojumu ar banku ar HTTPS jūsu vārdā.
Tāpat varētu izmantot "līdzīgu HTTP adresi ar homogrāfiem." Šī ir adrese, kas ekrānā izskatās identiska ar jūsu banku, bet kas faktiski izmanto īpašas Unikoda rakstzīmes, tāpēc tā ir citāda.Šis pēdējais un vissliktākais veida uzbrukums ir pazīstams kā internacionalizēts domēna vārda homogrāfs uzbrukums. Pārbaudiet Unicode rakstzīmju kopu, un jūs atradīsit rakstzīmes, kas būtībā ir identiskas ar 26 rakstzīmēm, kuras tiek lietotas latīņu alfabētā.Iespējams, o vietnē google.com, kurā esat izveidots savienojums, faktiski nav o, bet ir citas rakstzīmes.
Mēs aplūkojām šo sīkāk, kad mēs aplūkojām draudus izmantot publisko Wi-Fi tīklāju .
Protams, lielākoties HTTPS darbojas lieliski. Maz ticams, ka jūs saskarsieties ar tik gudru cilvēka-in-the-vidējā uzbrukumu, kad apmeklējat kafijas veikalu un izveidojat savienojumu ar Wi-Fi tīklu. Patiesībā HTTPS ir nopietnas problēmas. Lielākā daļa cilvēku to uzticas un nezina šīs problēmas, bet tas nav gandrīz perfekts.
attēla kredīts: Sarah Joy