27Jul
HTTPS, care utilizează SSL, oferă verificarea identității și securitatea, astfel încât să știți că sunteți conectat la site-ul corect și nimeni nu vă poate asculta. Aceasta este teoria, oricum.În practică, SSL pe web este un fel de mizerie.
Aceasta nu înseamnă că criptarea HTTPS și SSL nu are valoare, fiind cu siguranță mult mai bune decât utilizarea conexiunilor HTTP necriptate. Chiar și într-un scenariu cel mai nefavorabil, o conexiune HTTPS compromisă va fi la fel de nesigură ca o conexiune HTTP.
Numarul de autoritati de certificare
Browser-ul dvs. are o lista integrata de autoritati de certificare de incredere. Browserele încredințează numai certificatele emise de aceste autorități de certificare. Dacă ați vizitat https://example.com, serverul web de la example.com vă va prezenta un certificat SSL, iar browserul dvs. ar verifica dacă certificatul SSL al site-ului a fost emis pentru example.com de către o autoritate de certificare de încredere. Dacă certificatul a fost emis pentru un alt domeniu sau dacă nu a fost emis de o autoritate de certificare de încredere, ați vedea un avertisment serios în browserul dvs.
O problemă majoră este că există atât de multe autorități de certificare, astfel încât problemele cu o autoritate de certificare pot afecta pe toată lumea. De exemplu, este posibil să primiți un certificat SSL pentru domeniul dvs. din VeriSign, dar cineva ar putea compromite sau să-i smulgă o altă autoritate de certificare și să obțină și un certificat pentru domeniul dvs. Autoritățile de certificare
nu au inspirat întotdeauna încrederea
Studiile au constatat că unele autorități de certificare nu au reușit să facă nici măcar o diligență minimă în ceea ce privește emiterea certificatelor. Au emis certificate SSL pentru tipurile de adrese care nu ar trebui să necesite niciodată un certificat, cum ar fi "localhost", care reprezintă întotdeauna calculatorul local.În 2011, FEP a găsit peste 2000 de certificate pentru "localhost" emise de autorități legitime, de încredere.
În cazul în care autoritățile de certificare de încredere au emis atât de multe certificate, fără a verifica dacă adresele sunt chiar valabile, este firesc să ne întrebăm ce alte greșeli au făcut. Poate că au emis certificate neautorizate pentru site-urile celorlalți oameni atacatorilor. Certificate
Extended Validation sau certificate EV, încercați să rezolvați această problemă.Am rezolvat problemele cu certificatele SSL și despre modul în care certificatele EV încearcă să le rezolve. Autoritățile de certificare
ar putea fi obligate să emită certificate false
Deoarece există atâtea autorități de certificare, acestea sunt peste tot în lume și orice autoritate de certificare poate emite un certificat pentru orice site, guvernele ar putea obliga autoritățile de certificare să le elibereze un certificat SSLpentru un site pe care doresc să se impersoneze.
Acest lucru sa întâmplat probabil recent în Franța, unde Google a descoperit că un certificat necinstit pentru google.com a fost emis de autoritatea franceză de certificare ANSSI.Autoritatea ar fi permis guvernului francez sau oricui ar fi trebuit să se implice în site-ul Google, efectuând cu ușurință atacuri de tip "man-in-the-middle".ANSSI a afirmat că certificatul a fost utilizat numai într-o rețea privată pentru a se uita la utilizatorii proprii ai rețelei, nu la guvernul francez. Chiar dacă acest lucru ar fi adevărat, ar fi o încălcare a politicilor proprii ale ANSSI în momentul eliberării certificatelor.
Secreția perfectă nu este folosită pretutindeni
Multe site-uri nu utilizează "secretul perfect înainte", o tehnică care ar face mai dificilă criptarea. Fără o secretare perfectă în față, un atacator ar putea capta o cantitate mare de date criptate și ar decripta totul cu o singură cheie secretă.Știm că ANS și alte agenții de securitate de stat din întreaga lume captează aceste date. Dacă descoperă cheia de criptare utilizată de un site de mai mulți ani mai târziu, o pot folosi pentru a decripta toate datele criptate pe care le-au colectat între acel site și toți cei care sunt conectați la el.
Secretul perfect înainte vă ajută să protejați acest lucru generând o cheie unică pentru fiecare sesiune. Cu alte cuvinte, fiecare sesiune este criptată cu o cheie secretă diferită, astfel încât toate acestea nu pot fi deblocate cu o singură cheie. Acest lucru previne ca cineva să decripteze o cantitate imensă de date criptate simultan. Deoarece foarte puține site-uri utilizează această caracteristică de securitate, este mult mai probabil ca agențiile de securitate de stat să decripteze toate aceste date în viitor.
Omul în atacurile din mijloc și caracterele unicode
Din păcate, atacurile man-in-the-middle sunt încă posibile cu SSL.Teoretic, ar trebui să fie sigur să vă conectați la o rețea publică Wi-Fi și să accesați site-ul băncii.Știți că conexiunea este sigură, deoarece este peste HTTPS, iar conexiunea HTTPS vă ajută, de asemenea, să vă asigurați că sunteți de fapt conectat la banca dvs.
În practică, ar putea fi periculoasă conectarea la site-ul web al băncii dvs. într-o rețea publică Wi-Fi. Există soluții de tip "off-the-shelf", care pot avea un hotspot malware, să efectueze atacuri de tip "om-in-the-middle" asupra persoanelor care se conectează la acesta. De exemplu, un hotspot Wi-Fi se poate conecta la bancă în numele dvs., transmițând date înainte și înapoi și așezat în mijloc. S-ar putea să vă redirecționeze în mod șoc la o pagină HTTP și să vă conectați la bancă cu HTTPS în numele dvs.
Ar putea, de asemenea, să utilizeze o adresă HTTPS similară cu homografia. Aceasta este o adresă care arată identică cu banca dvs. pe ecran, dar care folosește de fapt caractere speciale Unicode, deci este diferită.Acest ultim și mai agresiv tip de atac este cunoscut ca un atac internațional de nume de domeniu homografic. Examinați setul de caractere Unicode și veți găsi caractere care par identice cu cele 26 de caractere folosite în alfabetul latin. Poate că o în google.com la care te-ai conectat nu sunt de fapt o, dar sunt alte personaje.
Am acoperit acest lucru în detaliu atunci când ne-am uitat la pericolele utilizării unui hotspot public Wi-Fi .
Desigur, HTTPS funcționează bine în majoritatea timpului. Este puțin probabil să întâlniți un astfel de atac inteligent în timpul vizitei unei cafenele și conectați-vă la Wi-Fi-ul lor. Punctul real este că HTTPS are unele probleme grave. Cei mai mulți oameni au încredere în ea și nu sunt conștienți de aceste probleme, dar nu este nici pe departe perfect.
Credit de imagine: Sarah Joy