27Jul
HTTPS, ki uporablja SSL, zagotavlja preverjanje identitete in varnost, zato veste, da ste povezani s pravilnim spletnim mestom in nihče ne more prisluhniti vaju. Kakorkoli, to je teorija. V praksi je SSL na spletu nekakšen nered.
To ne pomeni, da so HTTPS in SSL šifriranje brez vrednosti, saj so zagotovo veliko boljši od uporabe brezšifriranih HTTP povezav. Tudi v najslabšem primeru bo ogrožena povezava HTTPS samo kot povezava HTTP negotova.
Večje število organov potrdil
Vaš brskalnik ima vgrajen seznam organov zaupanja vrednih certifikatov. Brskalniki zaupajo le certifikate, ki jih izdajo ti certifikacijski organi.Če ste obiskali spletno mesto https://example.com, bi spletni strežnik na primer.com predstavil potrdilo SSL, vaš brskalnik pa bi preveril, ali je certifikat SSL spletnega mesta na primer.com izdan organu za zaupne certifikate.Če je bilo potrdilo izdano za drugo domeno ali če ga ni izdal organ za zaupanja vreden certifikat, bi v vašem brskalniku videli resno opozorilo.
Eden glavnih problemov je, da je toliko organov za izdajo potrdil, da lahko težave z enim potrdnim organom vplivajo na vse. Na primer, lahko dobite potrdilo SSL za svojo domeno iz storitve VeriSign, vendar lahko nekdo ogrozi ali prevari drug certifikat in pridobi tudi potrdilo za svojo domeno.
certifikacijski organi niso vedno navdahnili zaupanja
Študije so ugotovile, da nekateri organi za certifikate pri izdaji potrdil niso opravili niti minimalnega skrbnega pregleda. Izdali so potrdila SSL za tipe naslovov, ki ne smejo nikoli zahtevati potrdila, na primer »localhost«, ki vedno predstavlja lokalni računalnik. Leta 2011 je EFF našel over 2000 certifikatov za "localhost", ki so jih izdali zakoniti, zaupanja vredni organi za certifikate.
Če so pooblaščeni certifikacijski organi izdali toliko certifikatov, ne da bi preverili, ali so naslovnice celo veljavne, je seveda naravno spraševati, katere druge napake so naredili. Morda so tudi napadalcem izdali nepooblaščene certifikate za druge spletne strani.
razširjena potrdila o potrditvi ali EV certifikati poskusijo rešiti to težavo. Zajemali smo težave s potrdili SSL in kako jih EV poskusi rešiti.
lahko izda potrdilo
Ker je toliko organov za izdajo potrdil, da so po vsem svetu, in katerikoli certifikacijski organ lahko izda potrdilo za katero koli spletno mesto, bi lahko vlade prisilile, da certifikacijske organe izdajo potrdilo SSLza spletno mesto, ki si ga želijo lažno predstavljati.
To se je verjetno zgodilo nedavno v Franciji, kjer je Google odkril prevarantski certifikat za google.com izdal francoski organ za potrjevanje ANSSI.Organi bi francoski vladi ali kdorkoli drugemu to dovolili, da bi predstavljali Googlovo spletno stran in zlahka izvajali napade med ljudmi v sredini. ANSSI je trdil, da se je certifikat uporabljal le v zasebnem omrežju, da bi prepisal lastne uporabnike omrežja, ne pa francoska vlada. Tudi če bi bilo to res, bi to pomenilo kršitev lastnih pravil ANSSI pri izdaji potrdil.
Perfect Forward Secrecy se ne uporablja povsod
Mnoga spletna mesta ne uporabljajo "popolne poskuse vnaprej", tehnike, ki bi šifrirale težje počikovati. Brez popoln odkritje tajnosti, napadalec lahko zajame veliko število šifriranih podatkov in dešifrira vse z enim tajnim ključem. Vemo, da NSA in druge agencije za državno varnost po vsem svetu zajemajo te podatke.Če odkrijejo šifrirni ključ, ki ga uporablja spletno mesto let kasneje, ga lahko uporabijo za dešifriranje vseh šifriranih podatkov, ki so jih zbrali med tem spletnim mestom, in vsem, ki so z njim povezani.
Popolna tajnost poskrbi za zaščito pred tem, tako da ustvari edinstven ključ za vsako sejo. Z drugimi besedami, vsaka seja je šifrirana z drugačnim tajnim ključem, tako da jih ni mogoče odkleniti z enim samim ključem. To preprečuje, da bi nekdo dekodiral ogromno količino šifriranih podatkov naenkrat. Ker zelo malo spletnih mest uporablja to varnostno funkcijo, je bolj verjetno, da bi lahko državne agencije za varnost v prihodnosti dešifrirale vse te podatke.
Človek v srednjih napadih in znakov Unicode
Na žalost so napadi med ljudmi še vedno možni pri SSL.V teoriji bi se moralo biti varno povezati z javnim omrežjem Wi-Fi in dostopati do vaše spletne strani. Veste, da je povezava varna, ker je prek HTTPS-a, povezava HTTPS pa vam pomaga preveriti, ali ste dejansko povezani z vašo banko.
V praksi bi bilo lahko nevarno, da se povežete na spletno mesto svoje banke v javnem omrežju Wi-Fi. Obstajajo rešitve brez rešitve, ki imajo lahko zlonamerno vročo točko opravljajo napade med ljudmi v ljudi, ki se povezujejo z njim. Na primer, povezava z omrežjem Wi-Fi se lahko poveže z banko v vašem imenu, pošilja podatke naprej in nazaj ter sedi na sredini. Lahko bi vas sramotno preusmerila na stran HTTP in se v vašem imenu povezala z banko HTTPS.
Prav tako bi lahko uporabil "homografski podobni naslov HTTPS." To je naslov, ki je na zaslonu podoben vaši banki, vendar dejansko uporablja posebne znake Unicode, zato je drugačen. Ta zadnji in najcenejši tip napada je znan kot internacionaliziran domoznanski homogen napad. Preglejte nabor znakov Unicode in našli boste znake, ki so v osnovi enaki 26 znakom, uporabljenim v latinici. Morda o v google.com, s katerim ste povezani, dejansko niso o, ampak so drugi znaki.
To smo podrobneje obravnavali, ko smo gledali na nevarnosti uporabe javne Wi-Fi točke .
Seveda HTTPS deluje večino časa. Malo je verjetno, da boste ob takem pametnem napadu med ljudmi obiskali kavarno in se povezali na svoj Wi-Fi. Resnična točka je, da ima HTTPS nekaj resnih težav. Večina ljudi jim zaupa in se ne zavedajo teh težav, vendar ni blizu popolnega.
Image Credit: Sarah Joy