27Jul
ХТТПС, који користи ССЛ, обезбеђује проверу идентитета и сигурност, тако да знате да сте повезани на исправну веб локацију и да нико не може да вас прислушкује.У сваком случају то је теорија.У пракси, ССЛ на вебу је некакав хаос.
Ово не значи да су ХТТПС и ССЛ енкрипција бескорисни, јер су дефинитивно много боље од коришћења нешифрираних ХТТП веза.Чак иу најгорем случају, компромитована ХТТПС веза ће бити једнако несигурна као ХТТП веза.
Бројни број сертификованих ауторитета
Ваш претраживач има уграђену листу ауторитета за повјерљиве сертификате.Бровсери једино верују сертификатима које издају овлаштени органи сертификата.Ако сте посјетили хттпс://екампле.цом, веб сервер на пример.цом би вам представио ССЛ сертификат и ваш прегледач ће провјерити да ли је ССЛ сертификат веб странице издат на пример.цом од стране поузданог ауторитета за сертификате.Ако је сертификат издат за други домен или ако га није издао орган за поуздане сертификате, у вашем прегледачу би сте видели озбиљно упозорење.
Један од главних проблема је то што има толико цертификата власти, тако да проблеми са једним органом сертификата могу утицати на све.На пример, можда ћете добити ССЛ сертификат за ваш домен из ВериСигн-а, али неко би могао компромитовати или преварити други ауторитет сертификата и добити сертификат за ваш домен.
сертификациони органи нису увијек инспирисали поузданост
Студије су утврдиле да неки органи сертификата нису успели да учине чак ни минималну дужну пажњу приликом издавања сертификата.Издали су ССЛ сертификате за типове адреса за које никада не треба сертификат, као што је "лоцалхост", који увек представља локални рачунар.У 2011. години ЕФФ је пронашао више од 2000 сертификата за "лоцалхост" који издају легитимни, поуздани органи сертификата.
Ако су ауторизовани цертификацијски ауторитети издали толико сертификата без провере да ли су адресе чак и важеће, наравно да се питате које су друге грешке направиле.Можда су такође издали неовлашћене цертификате за друге сајтове за нападаче.
сертификати за проширену потврду или ЕВ сертификате покушавају да реше овај проблем.Покривали смо проблеме са ССЛ сертификатима и како ЕВ цертификати покушавају да их реше.
сертификациони органи могу бити обавезни да издају лажне сертификате
Пошто постоји толико ауторитета за сертификацију, они су широм свијета, а свако сертификационо тијело може издати сертификат за било коју веб страницу, владе би могле присилити власт сертификата да им изда ССЛ сертификатза локацију на коју желе да се представи.
Ово се вјероватно десило недавно у Француској, где је Гоогле открио лажни сертификат за гоогле.цом издао француски ауторитет за сертификацију АНССИ.Ауторитет би дозволио француској влади или било коме другом да им се претвара у Гооглеову веб локацију, лако извршавајући нападе између људи у средини.АНССИ је тврдио да је сертификат кориштен само у приватној мрежи да би се снио на властите кориснике мреже, а не од стране француске владе.Чак и да је то тачно, то би било кршење сопствених правила АНССИ-а приликом издавања сертификата.
Перфецт Форвард Сецреци се не користи свугдје
Многе странице не користе "савршену унапређену тајност", технику која би отежала пуцање у шифрирање.Без перфектне тајности, нападач може да ухвати велику количину шифрованих података и дешифрује све са једним тајним кључем.Знамо да НСА и друге агенције за државну безбедност широм свијета бележе ове податке.Ако открију кључ за шифровање који користи веб локација неколико година касније, они могу да га користе да дешифрују све шифроване податке које су прикупили између тог веб сајта и свима који су повезани са њим.
Савршена тајна упозорења помаже у заштити од тога стварањем јединственог кључа за сваку сесију.Другим речима, свака сесија је шифрована са другим тајним кључем, тако да се не могу сви откључати са једним кључем.Ово спречава некога да дешифрује огромну количину шифрованих података одједном.Због тога што врло мало веб сајтова користи ову сигурносну функцију, вероватније је да агенције за државну сигурност могу дешифровати све ове податке у будућности.
Човјек у средњим нападима и Уницоде карактерима
Нажалост, напади човек-у-средини су и даље могући са ССЛ-ом.У теорији би требало бити сигурно да се повежете са јавном Ви-Фи мрежом и приступите сајту ваше банке.Знате да је веза сигурна јер је преко ХТТПС-а, а ХТТПС веза вам такође помаже да потврдите да сте стварно повезани са вашом банком.
У пракси би било опасно повезивање на веб страницу ваше банке на јавној Ви-Фи мрежи.Постоје решења која немају приступ малициозном хотспоту и врше напад на човека који се повезују са њим.На пример, Ви-Фи хотспот се може повезати са банком у ваше име, слање података напред и назад и седење у средини.Може вам снеакинито преусмерити на ХТТП страницу и повезати се са банком помоћу ХТТПС-а у ваше име.
Такође се може користити "слична ХТТП адреса слична хомограма." Ово је адреса која изгледа на идентичном нивоу ваше банке на екрану, али која заправо користи посебне Уницоде знаке, тако да је другачија.Ова последња и најстрашнија врста напада позната је као интернационализовани хомографицни домен.Испитајте Уницоде скуп знакова и наћи ћете карактере који изгледају у основи идентични са 26 знакова који се користе у латиничној абецеди.Можда о о на гоогле.цом са којим сте повезани у ствари нису о, али су други ликови.
Ово смо детаљније обрадили када смо погледали на опасности коришћења јавног Ви-Фи хотспот-а .
Наравно, ХТТПС ради већину времена.Мало је вероватно да ћете наићи на таквог паметног нападача човјека у средини када посетите кафић и повежете се на свој Ви-Фи.Права ствар је да ХТТПС има неке озбиљне проблеме.Већина људи верује у то и није свесна ових проблема, али ни близу је савршено.
Имаге Цредит: Сарах Јои
