27Jul
SSL kullanan HTTPS, kimlik doğrulama ve güvenliği sağlar; bu nedenle doğru web sitesine bağlı olduğunuzu ve kimsenin sizi arayamayacağını biliyorsunuzdur. Her neyse, teori budur. Pratikte, web üzerindeki SSL karışıklık halindedir.
Bu, şifrelenmemiş HTTP bağlantılarını kullanmaktan çok daha iyi olduğu için, HTTPS ve SSL şifrelemesinin değersiz olduğu anlamına gelmez. En kötü ihtimali olan bir senaryoda bile, ele geçirilen bir HTTPS bağlantısı yalnızca bir HTTP bağlantısı kadar güvende olmayacaktır.
Son Sertifika Yetkilileri Sayısı
Tarayıcınızda güvenilir sertifika yetkililerinin yerleşik bir listesi bulunur. Tarayıcılar yalnızca bu sertifika yetkilileri tarafından verilen sertifikalara güvenirler. Https://example.com sitesini ziyaret ettiyseniz, example.com'daki web sunucusu size bir SSL sertifikası sunacak ve tarayıcınız, web sitesinin SSL sertifikasının example.com için güvenilir bir sertifika yetkilisi tarafından verildiğinden emin olmak için kontrol edecektir. Sertifika başka bir alan adı için verildiyse veya güvenilir bir sertifika yetkilisi tarafından verilmemişse tarayıcınızda ciddi bir uyarı görürsünüz.
Önemli bir sorun, çok sayıda sertifika yetkilisi olması, bu nedenle bir sertifika yetkilisine sahip olan sorunlar herkesi etkileyebilir.Örneğin, VeriSign'tan alan adınız için bir SSL sertifikası alabilirsiniz, ancak birisi başka bir sertifika yetkilisine taviz verebilir veya aldatabilir ve alan adınız için de bir sertifika alabilir.
Sertifika Yetkilileri, her zaman Güventen Endişe Edemedi
Çalışmalar, bazı sertifika yetkililerinin, sertifika verirken en düşük özen beyanı bile başarısız olduğunu bulmuştur. Her zaman yerel bilgisayarı temsil eden "localhost" gibi bir sertifika gerektirmeyen adres türleri için SSL sertifikaları yayınladılar.2011'de EFF, meşru, güvenilir sertifikasyon yetkilileri tarafından verilen "localhost" için 2000'den fazla sertifika bulmuştur.
Güvenilir sertifika yetkilileri, ilk etapta adreslerin geçerli olduğunu doğrulamadan çok fazla sertifika yayınladıysa, yaptıkları diğer hataları merak etmek doğaldır. Belki de diğer kişilerin web siteleri için saldırganlara izinsiz sertifika verdiler.
Genişletilmiş Doğrulama sertifikaları veya EV sertifikaları bu sorunu çözmeye çalışıyor. Sorunları SSL sertifikaları ve EV sertifikalarının bunları nasıl çözmeye çalıştıklarını inceledik.
Sertifika Yetkilileri, Sahte Sertifikalar Verilmesi İçin Mecbur Edilebilir
Çok sayıda sertifika yetkilisi bulunduğu için hepsi dünyanın dört bir yanındadır ve herhangi bir sertifika yetkilisi herhangi bir web sitesi için bir sertifika verebilir, hükümetler sertifika yetkililerini kendilerine bir SSL sertifikası vermek için zorlayabilirkimliğine bürünmek istedikleri bir site için.
Bu muhtemelen Fransa, google.com için bir sahtekar sertifika keşfedilen Fransa'da, Fransız sertifika yetkilisi ANSSI tarafından verildi. Yetki, Fransız hükümetine ya da kimin elinde olan herkese Google'ın web sitesini kandırmasına ve daha çok insan saldırısı gerçekleştirmesine izin vermişti. ANSSI, sertifikanın yalnızca Fransız bir hükümet tarafından değil ağın kendi kullanıcılarını gözetlemek için özel bir ağ üzerinde kullanıldığını iddia etti. Bu doğru olsaydı bile, belgeleri düzenlerken ANSSI'nin kendi politikalarını ihlal ederdi.
Mükemmel İleri Gizlilik Her Yerde Kullanılmıyor
Birçok site, şifrelemeyi daha zor hale getirecek bir teknik olan "mükemmel ileriye gizlilik" kullanmıyor. Mükemmel bir ön-gizlilik olmadan, bir saldırgan büyük miktarda şifreli veri yakalayabilir ve hepsini tek bir gizli anahtardan çözebilir. NSA ve dünyanın diğer eyalet güvenlik ajanslarının bu verileri yakaladığını biliyoruz. Yıllar sonra bir web sitesi tarafından kullanılan şifreleme anahtarını keşfederlerse, bu web sitesi ile kendisine bağlı olan herkes arasında toplanan şifreli verilerin şifresini çözmek için şifreleme anahtarını kullanabilirler.
Mükemmel iletme gizliliği, her oturum için benzersiz bir anahtar oluşturarak buna karşı koruma sağlar. Diğer bir deyişle, her oturum farklı bir gizli anahtara göre şifrelendiğinden, hepsi tek bir anahtarla açılmaz. Bu, bir kişinin bir anda çok miktarda şifreli veriyi şifresini çözmesini önler.Çok az web sitesi bu güvenlik özelliğini kullandığından, eyalet güvenlik kurumlarının gelecekte tüm bu verilerin şifresini çözmesi olasılığı daha yüksektir.
Orta Ataklarda ve Unicode Karakterlerde Adam
Maalesef, SSL ile man-in-the-middle saldırıları hala mümkün. Teorik olarak, bir kamu Wi-Fi ağına bağlanmak ve bankanızın sitesine erişmek güvenli olmalıdır. Bağlantı, HTTPS üzerinden yapıldığı için güvende olduğunu ve HTTPS bağlantısının da aslında bankanıza bağlandığınızı doğrulamanıza yardımcı olduğunu biliyorsunuzdur.
Uygulamada, bankanızın web sitesine bir kamu Wi-Fi şebekesi üzerinden bağlanmak tehlikeli olabilir. Kötü niyetli bir hotspot'a bağlanan insanlara man-in-the-middle saldırıları yapabilecek off-the-shelf çözümler vardır.Örneğin, bir Wi-Fi hotspot bankanıza sizinle bağlantı kurabilir, veri ileri geri gönderir ve ortada oturabilir. Gizlice bir HTTP sayfasına yönlendirip sizin adınıza HTTPS ile bankaya bağlanabilir.
Ayrıca "homogamayla benzer bir HTTPS adresi" kullanabilirsiniz. Bu, bankanızın ekranında aynı görünen, ancak aslında farklı Unicode karakterleri kullanan bir adres. Bu son ve en korkunç saldırı türü, uluslararası alan adı homografik saldırısı olarak bilinir. Unicode karakter setini inceleyin ve Latin alfabesinde kullanılan 26 karakterle özdeş görünen karakterleri bulacaksınız. Belki de bağlı olduğunuz google.com'daki o'lar o'lar değil, diğer karakterlerdir.
Bunu, 'ye bir genel Wi-Fi erişim noktası kullanmanın tehlikelerine baktığımızda daha ayrıntılı bir şekilde ele aldık.
Tabii ki, HTTPS çoğu zaman iyi işliyor. Bir kahveyi ziyaret ettiğinizde ve Wi-Fi'ye bağlandığınızda böylesine akıllı bir adam-in-the-middle saldırısı ile karşılaşmanız olası değildir. Asıl nokta HTTPS'in bazı ciddi sorunları olmasıdır.Çoğu insan ona güveniyor ve bu sorunların farkında değil ancak hiçbir yerde mükemmel bir yere yakın değil.
Resim Kredisi: Sarah Joy