27Jul

5 Vážne problémy so zabezpečením HTTPS a SSL na webe

Problémy s-s-https-and-SSL šifrovanie

HTTPS, ktorý používa protokol SSL, zabezpečuje overenie totožnosti a bezpečnosť, takže viete, že ste pripojení na správny web a nikto vás neposlúži. To je teória. V praxi je SSL na webe nejakým neporiadkom.

To neznamená, že šifrovanie HTTPS a SSL je bezcenné, pretože sú oveľa lepšie ako používanie nešifrovaných spojení HTTP.Aj v najhoršom prípade bude kompromitované pripojenie HTTPS iba neisté ako pripojenie HTTP.

Celkový počet certifikačných autorít

Váš prehliadač obsahuje vstavaný zoznam autorít dôveryhodných certifikátov. Prehliadače veria iba certifikáty vydané týmito certifikačnými úradmi. Ak ste navštívili stránku https://example.com, webový server na adrese example.com by vám poskytol certifikát SSL a váš prehliadač by skontroloval, či sa certifikát SSL webovej lokality vydal na adrese example.com dôveryhodným certifikačným orgánom. Ak bol certifikát vystavený pre inú doménu alebo ak nebol vydaný dôveryhodným certifikačným orgánom, v prehliadači by ste mali vidieť vážne upozornenie.

Jedným z hlavných problémov je, že existuje toľko certifikačných autorít, takže problémy s jednou certifikačnou autoritou môžu ovplyvniť každého. Môžete napríklad získať certifikát SSL pre svoju doménu zo služby VeriSign, ale niekto by mohol kompromitovať alebo poplatiť inú certifikačnú autoritu a získať aj certifikát pre vašu doménu. Certifikačné autority

dôveryhodné koreňové certifikačné-orgány

nie vždy inšpirovali dôveru

Štúdie zistili, že niektoré certifikačné autority pri vydávaní certifikátov nedokázali ani minimálnu povinnú starostlivosť.Vydali certifikáty SSL pre typy adries, ktoré by nikdy nemali vyžadovať certifikát, napríklad "localhost", ktorý vždy predstavuje lokálny počítač.V roku 2011 EFF našiel viac ako 2000 certifikátov pre "localhost", ktoré vydali oprávnené, dôveryhodné certifikačné autority.

Ak orgány s dôveryhodnými certifikátmi vydali toľko certifikátov bez toho, aby overili, že adresy sú v prvom rade platné, je len prirodzené sa diviť, aké ďalšie chyby urobili. Možno tiež vydali neoprávnené certifikáty na webové stránky iných ľudí útočníkom. Rozšírené overovacie certifikáty

alebo certifikáty EV sa pokúšajú vyriešiť tento problém. Vyskytli sme sa s problémami s certifikátmi SSL a ako sa ich snažia vyriešiť EV certifikáty. Certifikačné autority

by mohli byť nútené vydávať falošné certifikáty

Vzhľadom na to, že existuje toľko certifikačných autorít, sú na celom svete a každá certifikačná autorita môže vydať certifikát pre ktorúkoľvek webovú stránku, vlády by mohli prinútiť certifikačné autority, aby im vydali certifikát SSLpre stránky, ktoré sa chcú zosobňovať.

To sa pravdepodobne stalo nedávno vo Francúzsku, kde spoločnosť Google objavila certifikát neoprávneného používania stránky google.com, ktorú vydala francúzska certifikačná autorita ANSSI.Autorita by dovolila francúzskej vláde alebo ktokoľvek inému to, aby sa vydávala za webovú stránku spoločnosti Google a ľahko vykonávala útoky medzi mužmi. Spoločnosť ANSSI tvrdila, že certifikát bol používaný iba v súkromnej sieti, aby sa snoopil na vlastných užívateľov siete, nie na francúzsku vládu. Aj keby to bolo pravda, pri vydávaní certifikátov by došlo k porušeniu vlastných pravidiel ANSSI.

google-Anssi-nečestní osvedčenie-france

Perfektný Forward Secrecy nie je používaný všade

Mnoho stránok nepoužíva "dokonalé tajomstvo dopredu", čo by spôsobilo, že šifrovanie sa sťažuje. Bez dokonalého utajenia vopred môže útočník zachytiť veľké množstvo šifrovaných údajov a dešifrovať všetko jediným tajným kľúčom. Vieme, že NSA a ďalšie štátne bezpečnostné agentúry po celom svete zachytia tieto údaje. Ak objavia šifrovací kľúč používaný webovými stránkami o niekoľko rokov neskôr, môžu ich použiť na dešifrovanie všetkých šifrovaných údajov, ktoré zhromaždili medzi touto webovou lokalitou a každým, kto je k nej pripojený.

Dokonalé utajenie dopredu pomáha chrániť proti tomuto vytvoreniu jedinečného kľúča pre každú reláciu. Inými slovami, každá relácia je zašifrovaná iným tajným kľúčom, takže ich nemožno odomknúť jedným kľúčom. To zabraňuje niekomu, aby dešifroval obrovské množstvo šifrovaných dát naraz. Pretože veľmi málo webových stránok používa túto bezpečnostnú funkciu, je pravdepodobnejšie, že štátne bezpečnostné agentúry môžu v budúcnosti dešifrovať všetky tieto údaje.

Muž v stredných útokoch a znakoch Unicode

Je smutné, že útoky typu man-in-the-middle sú stále možné pomocou protokolu SSL.Teoreticky by sa malo bezpečné pripojenie k verejnej sieti Wi-Fi a prístup k vašej banke. Viete, že pripojenie je zabezpečené, pretože je cez protokol HTTPS a pripojenie HTTPS vám tiež pomôže overiť, či ste skutočne pripojení k vašej banke.

V praxi by mohlo byť nebezpečné pripojiť sa k webovej stránke vašej banky vo verejnej sieti Wi-Fi. Existujú mimoriadne riešenia, ktoré môžu mať zlomyseľný hotspot, vykonávať útoky typu "man-in-the-middle" na ľudí, ktorí sa k nemu pripojili. Napríklad, hotspot Wi-Fi sa môže k banke pripojiť vo vašom mene, posielať dáta tam a späť a sedieť uprostred. Mohlo by vás zbytočne presmerovať na stránku HTTP a pripojiť sa k banke pomocou protokolu HTTPS vo vašom mene.

Mohlo by tiež použiť adresu HTTPS podobnú homografii. Toto je adresa, ktorá vyzerá rovnako ako vaša banka na obrazovke, ale ktorá skutočne používa špeciálne znaky Unicode, takže je to iné.Tento posledný a najstrašnejší typ útoku je známy ako internacionalizovaný homografický útok na homografické meno. Preskúmajte znakovú sadu Unicode a nájdete znaky, ktoré sú v podstate totožné s 26 znakmi použitými v latinke. Možno, že o na google.com, do ktorej ste pripojení, nie sú v skutočnosti o, ale sú to iné znaky.

Pokryli sme to podrobnejšie, keď sme sa na pozreli na nebezpečenstvo používania verejného Wi-Fi hotspotu .

IDN-homograph-attack

Samozrejme, HTTPS funguje väčšinu času. Je nepravdepodobné, že pri návšteve kaviarne a pripojení k Wi-Fi sa stretnete s takým chytrým útokom medzi mužmi. Skutočným bodom je, že HTTPS má vážne problémy. Väčšina ľudí tomu dôveruje a tieto problémy si neuvedomujú, ale nie je ani tak dokonalá.Obrázok

: Sarah Joy