27Jul

5 Problemas sérios com HTTPS e segurança SSL na Web

problemas com https-and-ssl-encryption

HTTPS, que usa SSL, fornece verificação de identidade e segurança, para que você saiba que está conectado ao site correto e ninguém pode escapar de você.Essa é a teoria, mesmo assim. Na prática, o SSL na web é uma bagunça.

Isso não significa que a criptografia HTTPS e SSL não valem a pena, pois eles são definitivamente muito melhores do que usar conexões HTTP não criptografadas. Mesmo no pior caso, uma conexão HTTPS comprometida será tão insegura como uma conexão HTTP.

O número completo de autoridades de certificação

Seu navegador possui uma lista integrada de autoridades de certificação confiáveis. Os navegadores apenas confiam em certificados emitidos por essas autoridades de certificação. Se você visitou https://example.com, o servidor da Web em example.com apresentaria um certificado SSL para você e seu navegador verificaria se o certificado SSL do site foi emitido para example.com por uma autoridade de certificação confiável. Se o certificado foi emitido para outro domínio ou se não foi emitido por uma autoridade de certificação confiável, você veria um aviso grave no seu navegador.

Um grande problema é que existem muitas autoridades de certificação, então os problemas com uma autoridade de certificação podem afetar todos. Por exemplo, você pode obter um certificado SSL para o seu domínio da VeriSign, mas alguém pode comprometer ou enganar outra autoridade de certificação e também obter um certificado para o seu domínio. Autoridades de certificação

Autoridades de certificação de raiz confiável

não sempre inspiraram confiança

Estudos descobriram que algumas autoridades de certificação não conseguiram fazer minuciosidade mínima na emissão de certificados. Eles emitiram certificados SSL para tipos de endereços que nunca devem exigir um certificado, como "localhost", que sempre representa o computador local. Em 2011, o EFF encontrou mais de 2000 certificados de "localhost" emitidos por autoridades de certificação legítimas e confiáveis.

Se as autoridades de certificação confiáveis ​​tiverem emitido tantos certificados sem verificar se os endereços são até válidos em primeiro lugar, é natural se perguntar quais outros erros cometidos. Talvez também tenham emitido certificados não autorizados para sites de outras pessoas para atacantes. Os certificados de validação ampliada

, ou certificados EV, tentam resolver este problema. Cobrimos os problemas com certificados SSL e como os certificados EV tentam resolvê-los. As autoridades de certificação

podem ser obrigadas a emitir certificados falsos

. Porque há tantas autoridades de certificação, elas estão em todo o mundo e qualquer autoridade de certificação pode emitir um certificado para qualquer site, os governos podem obrigar as autoridades de certificação a emitir-lhes um certificado SSLpara um site que eles querem representar.

Isso provavelmente aconteceu recentemente na França, onde o Google descobriu um certificado rogue para google.com tinha sido emitido pela autoridade de certificação francesa ANSSI.A autoridade teria permitido que o governo francês ou quem mais o fizesse para representar o site do Google, realizando facilmente ataques do homem no meio. A ANSSI afirmou que o certificado só foi usado em uma rede privada para bisbilhotar os próprios usuários da rede e não pelo governo francês. Mesmo que isso fosse verdade, seria uma violação das próprias políticas da ANSSI ao emitir certificados.

google-anssi-rogue-certificate-france

Privilégio de frente perfeito não é utilizado em todos os lugares

Muitos sites não usam "segredo de frente perfeito", uma técnica que tornaria a criptografia mais difícil de quebrar. Sem um sigilo direto perfeito, um invasor pode capturar uma grande quantidade de dados criptografados e desencriptar tudo com uma única chave secreta. Sabemos que a NSA e outras agências de segurança do estado em todo o mundo estão capturando esses dados. Se eles descobrem a chave de criptografia usada por um site anos mais tarde, eles podem usá-lo para descriptografar todos os dados criptografados que eles coletaram entre esse site e todos os que estão conectados a ele.

O segredo dianteiro perfeito ajuda a proteger contra isso, gerando uma chave única para cada sessão. Em outras palavras, cada sessão é criptografada com uma chave secreta diferente, então eles não podem ser desbloqueados com uma única chave. Isso impede alguém de descriptografar uma enorme quantidade de dados criptografados ao mesmo tempo. Como muitos sites utilizam esse recurso de segurança, é mais provável que as agências de segurança do estado possam descriptografar todos esses dados no futuro.

Homem nos Ataques Centrais e Caracteres Unicode

Infelizmente, ataques man-in-the-middle ainda são possíveis com o SSL.Em teoria, deve ser seguro se conectar a uma rede Wi-Fi pública e acessar o site do seu banco. Você sabe que a conexão é segura porque é sobre HTTPS e a conexão HTTPS também ajuda a verificar se você está realmente conectado ao seu banco.

Na prática, pode ser perigoso se conectar ao site do seu banco em uma rede Wi-Fi pública. Existem soluções off-the-shelf que podem ter um ponto de acesso malicioso para executar ataques do homem-em-meio em pessoas que se conectam a ele. Por exemplo, um ponto de acesso Wi-Fi pode se conectar ao banco em seu nome, enviando dados para frente e para trás e sentado no meio. Ele poderia redirecioná-lo furiosamente para uma página HTTP e se conectar ao banco com o HTTPS em seu nome.

Também pode usar um "endereço HTTPS similar ao homógrafo". Este é um endereço que parece idêntico ao do seu banco na tela, mas que realmente usa caracteres Unicode especiais, por isso é diferente. Este último e mais assustador tipo de ataque é conhecido como um homônimo de nome de domínio internacionalizado. Examine o conjunto de caracteres Unicode e você encontrará caracteres que parecem basicamente idênticos aos 26 caracteres usados ​​no alfabeto latino. Talvez o o no google.com que você está conectado não é realmente o's, mas são outros personagens.

Cobrimos isso com mais detalhes quando olhamos para os perigos de usar um ponto de acesso Wi-Fi público .

idn-homograph-attack

Claro, o HTTPS funciona bem a maior parte do tempo.É improvável que você encontre um ataque tão inteligente no meio do homem quando visitar uma cafeteria e conectar-se ao seu Wi-Fi. O ponto real é que o HTTPS tem alguns problemas sérios. A maioria das pessoas confia nisso e não está ciente desses problemas, mas está longe de ser perfeito.

Crédito da imagem: Sarah Joy