If-Koubou

5 Probleme grave cu HTTPS și SSL Security pe Web

5 Probleme grave cu HTTPS și SSL Security pe Web (Cum să)

HTTPS, care utilizează SSL, asigură verificarea identității și securitatea, astfel încât să știți că sunteți conectat la site-ul corect și nimeni nu vă poate asculta. Aceasta este teoria, oricum. În practică, SSL pe web este un fel de mizerie.

Acest lucru nu înseamnă că criptarea HTTPS și SSL nu are valoare, fiind cu siguranță mult mai bune decât utilizarea conexiunilor HTTP necriptate. Chiar și într-un scenariu cel mai nefavorabil, o conexiune HTTPS compromisă va fi la fel de nesigură ca o conexiune HTTP.

Numarul mare de autoritati de certificare

Browserul dvs. are o listă încorporată de autorități de certificate de încredere. Browserele încredințează numai certificatele emise de aceste autorități de certificare. Dacă ați vizitat https://example.com, serverul web de la example.com vă va prezenta un certificat SSL, iar browserul dvs. ar verifica dacă certificatul SSL al site-ului a fost emis pentru example.com de către o autoritate de certificare de încredere. Dacă certificatul a fost emis pentru un alt domeniu sau dacă nu a fost emis de o autoritate de certificare de încredere, ați vedea un avertisment serios în browserul dvs.

O problemă majoră este că există atât de multe autorități de certificare, astfel încât problemele cu o singură autoritate de certificare pot afecta pe toată lumea. De exemplu, este posibil să primiți un certificat SSL pentru domeniul dvs. din VeriSign, dar cineva ar putea compromite sau ar putea să-și smulgă o altă autoritate de certificare și să obțină și un certificat pentru domeniul dvs.

Autoritățile de certificare nu au inspirat întotdeauna încrederea

Studiile au constatat că unele autorități de certificare nu au reușit să facă nici măcar o diligență minimă atunci când eliberează certificate. Au emis certificate SSL pentru tipurile de adrese care nu ar trebui să necesite niciodată un certificat, cum ar fi "localhost", care reprezintă întotdeauna calculatorul local. În 2011, FEP a găsit peste 2000 de certificate pentru "locala" emise de autorități legitime, de încredere în certificare.

Dacă autoritățile de certificare de încredere au emis atât de multe certificate, fără a verifica dacă adresele sunt chiar valide, este firesc să ne întrebăm ce alte greșeli au făcut. Poate că au emis certificate neautorizate pentru site-urile celorlalți oameni atacatorilor.

Certificatele de validare extinsă sau certificatele EV încearcă să rezolve această problemă. Am rezolvat problemele cu certificatele SSL și despre modul în care certificatele EV încearcă să le rezolve.

Autoritățile de certificare ar putea fi obligate să emită certificate false

Deoarece există atât de multe autorități de certificare, acestea sunt peste tot în lume și orice autoritate de certificare poate emite un certificat pentru orice site web, guvernele ar putea obliga autoritățile de certificare să le elibereze un certificat SSL pentru un site pe care doresc să-l impersonalizeze.

Acest lucru sa întâmplat probabil recent în Franța, unde Google a descoperit că un certificat necinstit pentru google.com a fost emis de autoritatea franceză de certificare ANSSI. Autoritatea ar fi permis guvernului francez sau oricui ar fi trebuit să se implice în site-ul Google, efectuând cu ușurință atacuri de tip "man-in-the-middle". ANSSI a afirmat că certificatul a fost utilizat numai într-o rețea privată pentru a se uita la utilizatorii proprii ai rețelei, nu la guvernul francez. Chiar dacă acest lucru ar fi adevărat, ar fi o încălcare a politicilor proprii ale ANSSI în momentul eliberării certificatelor.

Secreția perfectă în viitor nu este utilizată peste tot

Multe site-uri nu utilizează, "perfecționează secretul înainte", o tehnică care ar face criptarea mai dificilă de a sparge. Fără o secretare perfectă în față, un atacator ar putea capta o cantitate mare de date criptate și ar decripta totul cu o singură cheie secretă. Știm că ANS și alte agenții de securitate de stat din întreaga lume captează aceste date. Dacă descoperă cheia de criptare utilizată de un site de mai mulți ani mai târziu, o pot folosi pentru a decripta toate datele criptate pe care le-au colectat între acel site și toți cei care sunt conectați la el.

Perfecționarea secretului înainte vă ajută să protejați acest lucru generând o cheie unică pentru fiecare sesiune. Cu alte cuvinte, fiecare sesiune este criptată cu o cheie secretă diferită, astfel încât toate acestea nu pot fi deblocate cu o singură cheie. Acest lucru previne ca cineva să decripteze o cantitate imensă de date criptate simultan. Deoarece foarte puține site-uri utilizează această caracteristică de securitate, este mult mai probabil ca agențiile de securitate de stat să decripteze toate aceste date în viitor.

Omul în Atacurile Mijloace și Caracterele Unicode

Din păcate, atacurile "man-in-the-middle" sunt încă posibile cu SSL. Teoretic, ar trebui să fie sigur să vă conectați la o rețea publică Wi-Fi și să accesați site-ul băncii. Știți că conexiunea este sigură, deoarece este peste HTTPS, iar conexiunea HTTPS vă ajută, de asemenea, să vă asigurați că sunteți de fapt conectat la banca dvs.

În practică, ar putea fi periculos să vă conectați la site-ul băncii dvs. într-o rețea publică Wi-Fi. Există soluții de tip "off-the-shelf", care pot avea un hotspot malware, să efectueze atacuri de tip "om-in-the-middle" asupra persoanelor care se conectează la acesta. De exemplu, un hotspot Wi-Fi se poate conecta la bancă în numele dvs., transmițând date înainte și înapoi și așezat în mijloc. S-ar putea să vă redirecționeze în mod șoc la o pagină HTTP și să vă conectați la bancă cu HTTPS în numele dvs.

De asemenea, ar putea folosi o adresă HTTPS asemănătoare unui hometru. "Aceasta este o adresă care arată identică cu banca dvs. pe ecran, dar care utilizează de fapt caractere speciale Unicode, deci este diferită. Acest ultim și mai agresiv tip de atac este cunoscut ca un atac internațional de nume de domeniu homografic. Examinați setul de caractere Unicode și veți găsi caractere care arată practic identice cu cele 26 de caractere folosite în alfabetul latin. Poate că o în google.com la care te-ai conectat nu sunt de fapt o, dar sunt alte personaje.

Am abordat acest lucru mai detaliat atunci când ne-am uitat la pericolele utilizării unui hotspot public Wi-Fi.

Desigur, HTTPS funcționează bine în majoritatea timpului. Este puțin probabil să întâlniți un astfel de atac inteligent în timpul vizitei unei cafenele și conectați-vă la Wi-Fi-ul lor. Punctul real este că HTTPS are unele probleme grave. Cei mai mulți oameni au încredere în ea și nu sunt conștienți de aceste probleme, dar nu este nici pe departe perfect.

Credit de imagine: Sarah Joy