5 Probleme grave cu securitatea HTTPS și SSL pe Web
HTTPS, care utilizează SSL, oferă verificarea identității și securitatea, astfel încât să știți că sunteți conectat la site-ul corect și nimeni nu vă poate asculta. Aceasta este teoria, oricum. În practică, SSL pe web este un fel de mizerie.
Acest lucru nu înseamnă că criptarea HTTPS și SSL nu are valoare, fiind cu siguranță mult mai bune decât utilizarea conexiunilor HTTP necriptate. Chiar și într-un scenariu cel mai nefavorabil, o conexiune HTTPS compromisă va fi la fel de nesigură ca o conexiune HTTP.
Numarul mare al autoritatilor de certificare
Browserul dvs. are o listă încorporată de autorități de certificate de încredere. Utilizatorii de browsere au încredere numai în certificatele emise de aceste autorități de certificare. Dacă ați vizitat https://example.com, serverul web de la example.com vă va prezenta un certificat SSL, iar browserul dvs. ar verifica dacă certificatul SSL al site-ului a fost emis pentru example.com de către o autoritate de certificare de încredere. Dacă certificatul a fost emis pentru un alt domeniu sau dacă nu a fost emis de o autoritate de certificare de încredere, ați vedea un avertisment serios în browserul dvs..
O problemă majoră este faptul că există atât de multe autorități de certificare, astfel încât problemele cu o singură autoritate de certificare pot afecta pe toată lumea. De exemplu, este posibil să primiți un certificat SSL pentru domeniul dvs. din VeriSign, dar cineva ar putea să compromită sau să înșele altă autoritate de certificare și să obțină și un certificat pentru domeniul dvs..
Autoritățile de certificare nu au inspirat întotdeauna încrederea
Studiile au constatat că unele autorități de certificare nu au reușit să facă nici măcar o diligență minimă atunci când eliberează certificate. Au emis certificate SSL pentru tipuri de adrese care nu ar trebui să necesite niciodată un certificat, cum ar fi "localhost", care reprezintă întotdeauna calculatorul local. În 2011, FEP a găsit peste 2000 de certificate pentru "localhost" emise de autorități legitime, de încredere în certificat.
Dacă autoritățile de certificare de încredere au emis atât de multe certificate, fără a verifica dacă adresele sunt chiar valabile, este firesc să ne întrebăm ce alte greșeli au făcut. Poate că au emis certificate neautorizate pentru site-urile celorlalți oameni atacatorilor.
Certificatele de valabilitate extinsă sau certificatele EV încearcă să rezolve această problemă. Am rezolvat problemele cu certificatele SSL și despre modul în care certificatele EV încearcă să le rezolve.
Autoritățile de certificare ar putea fi constrânse să emită certificate false
Deoarece există atâtea autorități de certificare, acestea sunt peste tot în lume și orice autoritate de certificare poate emite un certificat pentru orice site web, guvernele ar putea obliga autoritățile de certificare să le elibereze un certificat SSL pentru un site pe care doresc să-l impersonalizeze.
Acest lucru sa întâmplat probabil recent în Franța, unde Google a descoperit că un certificat necinstit pentru google.com a fost emis de autoritatea franceză de certificare ANSSI. Autoritatea ar fi permis guvernului francez sau oricui ar fi trebuit să se implice în site-ul Google, efectuând cu ușurință atacuri de tip man-in-the-middle. ANSSI a susținut că certificatul a fost utilizat numai într-o rețea privată pentru a observa utilizatorii proprii ai rețelei, nu guvernul francez. Chiar dacă acest lucru ar fi adevărat, ar fi o încălcare a politicilor proprii ale ANSSI la emiterea certificatelor.
Secreția perfectă în viitor nu este utilizată peste tot
Multe site-uri nu utilizează secretul perfect înainte, o tehnică care ar face mai dificilă criptarea. Fără o secretare perfectă în față, un atacator ar putea capta o cantitate mare de date criptate și ar putea decripta totul cu o singură cheie secretă. Știm că ANS și alte agenții de securitate de stat din întreaga lume captează aceste date. Dacă descoperă o cheie de criptare utilizată de un site de mai mulți ani mai târziu, ei o pot folosi pentru a decripta toate datele criptate pe care le-au colectat între site-ul respectiv și toți cei conectați la acesta.
Perfecționarea secretă a mesajului înainte vă ajută să protejați acest lucru generând o cheie unică pentru fiecare sesiune. Cu alte cuvinte, fiecare sesiune este criptată cu o cheie secretă diferită, astfel încât toate acestea nu pot fi deblocate cu o singură cheie. Acest lucru previne ca cineva să decripteze o cantitate imensă de date criptate simultan. Deoarece foarte puține site-uri utilizează această caracteristică de securitate, este mai probabil ca agențiile de securitate de stat să decripteze toate aceste date în viitor.
Omul în Atacurile Mijloace și Caracterele Unicode
Din păcate, atacurile de tip "man-in-the-middle" sunt încă posibile cu SSL. În teorie, ar trebui să fie sigur să vă conectați la o rețea publică Wi-Fi și să accesați site-ul băncii. Știți că conexiunea este securizată, deoarece este peste HTTPS, iar conexiunea HTTPS vă ajută, de asemenea, să vă asigurați că sunteți de fapt conectat la banca dvs..
În practică, ar putea fi periculoasă conectarea la site-ul web al băncii dvs. într-o rețea publică Wi-Fi. Există soluții de tip "off-the-shelf", care pot avea un hotspot malware, să efectueze atacuri de tip "om-in-the-middle" asupra persoanelor care se conectează la acesta. De exemplu, un hotspot Wi-Fi se poate conecta la bancă în numele dvs., trimiterea de date înainte și înapoi și așezarea în mijloc. S-ar putea să vă redirecționeze în mod șocat la o pagină HTTP și să vă conectați la bancă cu HTTPS în numele dvs..
De asemenea, ar putea folosi o adresă HTTPS similară cu homografia. Aceasta este o adresă care arată identică cu banca dvs. pe ecran, dar care folosește de fapt caractere speciale Unicode, deci este diferită. Acest ultim și mai agresiv tip de atac este cunoscut ca un atac internațional de nume de domeniu homografic. Examinați setul de caractere Unicode și veți găsi caractere care par identice cu cele 26 de caractere folosite în alfabetul latin. Poate că o în google.com la care te-ai conectat nu sunt de fapt o, dar sunt alte personaje.
Am acoperit acest lucru în detaliu când ne-am uitat la pericolele utilizării unui hotspot public Wi-Fi.
Desigur, HTTPS funcționează bine în majoritatea timpului. Este puțin probabil să întâlniți un atac atît de inteligent în timp ce vizitați o cafenea și conectați-vă la Wi-Fi-ul lor. Punctul real este că HTTPS are unele probleme grave. Majoritatea oamenilor au încredere în ea și nu sunt conștienți de aceste probleme, dar nu este aproape niciodată perfectă.
Credit de imagine: Sarah Joy