5 Rimtos problemos, susijusios su HTTPS ir SSL saugumu internete
HTTPS, kuris naudoja SSL, suteikia tapatybės patvirtinimą ir saugumą, todėl žinote, kad esate prisijungę prie tinkamos svetainės, ir niekas negali jūsų pasiklausyti. Vis dėlto tai teorija. Praktiškai SSL žiniatinklyje yra tarsi netvarka.
Tai nereiškia, kad HTTPS ir SSL šifravimas yra bevertis, nes jie tikrai geresni nei naudojant nešifruotus HTTP ryšius. Net blogiausiu atveju, pažeistas HTTPS ryšys bus toks pat nesaugus kaip HTTP ryšys.
Sertifikatų institucijų skaičius
Jūsų naršyklėje yra įmontuotas patikimų sertifikatų institucijų sąrašas. Naršyklės tik pasitiki sertifikatais, kuriuos išduoda šios sertifikavimo institucijos. Jei apsilankėte https://example.com, žiniatinklio serveris, esantis example.com, jums pateiktų SSL sertifikatą, o jūsų naršyklė patikrintų, ar patikimos sertifikato institucija išdavė svetainės SSL sertifikatą. Jei sertifikatas buvo išduotas kitam domenui arba jei jo nepatvirtino patikima sertifikato institucija, naršyklėje pamatysite rimtą įspėjimą.
Viena iš pagrindinių problemų yra ta, kad yra tiek daug sertifikatų išduodančių institucijų, todėl problemos, susijusios su viena sertifikato institucija, gali turėti įtakos visiems. Pvz., Galite gauti savo domeno SSL sertifikatą iš „VeriSign“, tačiau kas nors gali kompromisuoti arba apgauti kitą sertifikato instituciją ir gauti jūsų domeno sertifikatą.
Sertifikato institucijos ne visada įkvėpė pasitikėjimo
Tyrimai parodė, kad kai kurios sertifikatų institucijos, išduodamos sertifikatus, neatliko net minimalaus patikrinimo. Jie išdavė SSL sertifikatus adresų tipams, kuriems niekada nereikėtų sertifikato, pvz., „Localhost“, kuris visada atstovauja vietiniam kompiuteriui. 2011 m. EŽF nustatė daugiau kaip 2000 „localhost“ sertifikatų, kuriuos išdavė teisėtos, patikimos sertifikavimo institucijos.
Jei patikimų sertifikatų išdavusios institucijos išdavė tiek daug sertifikatų, nepatvirtindamos, kad adresai yra net galiojantys, tik natūralu sužinoti, kokių kitų klaidų jie padarė. Galbūt jie taip pat išdavė neleistinus kitų žmonių tinklalapių sertifikatus užpuolikams.
Išplėstinė patvirtinimo sertifikatai arba EV sertifikatai bando išspręsti šią problemą. Mes aptarėme SSL sertifikatus ir kaip EV sertifikatai bando juos išspręsti.
Sertifikato institucijos gali būti priverstos išduoti suklastotus sertifikatus
Kadangi yra tiek daug sertifikatų išduodančių institucijų, jie visame pasaulyje, ir bet kuri sertifikato institucija gali išduoti sertifikatą bet kuriai interneto svetainei, vyriausybės gali priversti sertifikato institucijas išduoti SSL sertifikatą svetainei, kurią jie norėtų įkvėpti.
Tai greičiausiai atsitiko neseniai Prancūzijoje, kur „Google“ atrado google.com nesąžiningą sertifikatą, kurį išdavė Prancūzijos sertifikavimo institucija ANSSI. Institucija būtų leidusi Prancūzijos vyriausybei ar kas nors kitam asmeniui įsivaizduoti „Google“ svetainę, lengvai atliekant vidurio išpuolius. ANSSI teigė, kad sertifikatas buvo naudojamas tik privačiame tinkle, kad būtų užgniaužtas tinklo naudotojams, o ne Prancūzijos vyriausybė. Net jei tai būtų tiesa, tai būtų ANSSI politikos pažeidimas išduodant sertifikatus.
Visur nėra naudojama tobula išankstinė paslaptis
Daugelis svetainių nenaudoja „tobula išankstinio slaptumo“. Be tobulos paslapties, užpuolikas gali užfiksuoti daug šifruotų duomenų ir iššifruoti viską vienu slaptu raktu. Mes žinome, kad NSA ir kitos valstybės saugumo agentūros visame pasaulyje užfiksuoja šiuos duomenis. Jei jie atranda šifravimo raktą, kurį vėliau naudoja tinklapis, jie gali jį naudoti iššifruoti visus užšifruotus duomenis, kuriuos jie surinko tarp šios svetainės ir visų su juo susietų.
Puikus išankstinis slaptumas padeda apsaugoti nuo to, sukuriant unikalų raktą kiekvienai sesijai. Kitaip tariant, kiekviena sesija yra užšifruota kitokiu slaptu raktu, todėl jie negali būti atrakinti vienu raktu. Tai neleidžia žmogui iš karto iššifruoti daugybės šifruotų duomenų. Kadangi labai nedaug svetainių naudoja šią saugumo funkciją, labiau tikėtina, kad valstybės saugumo agentūros ateityje galės visus šiuos duomenis iššifruoti.
Žmogus viduryje ir Unicode simboliuose
Deja, su SSL vis dar įmanoma užkirsti kelią vidurio išpuoliams. Teoriškai turėtų būti saugu prisijungti prie viešojo „Wi-Fi“ tinklo ir pasiekti savo banko svetainę. Jūs žinote, kad ryšys yra saugus, nes jis viršija HTTPS, o HTTPS ryšys taip pat padeda jums patikrinti, ar esate prijungtas prie banko.
Praktiškai gali būti pavojinga prisijungti prie banko interneto svetainės viešame „Wi-Fi“ tinkle. Yra „off-the-shelf“ sprendimų, kurie gali turėti kenkėjišką „hotspot“ išpuolių prieš žmones, kurie prisijungia prie jo. Pavyzdžiui, „Wi-Fi“ taškas gali prisijungti prie banko jūsų vardu, siunčiant duomenis pirmyn ir atgal ir sėdint viduryje. Jis gali netikėtai nukreipti jus į HTTP puslapį ir prisijungti prie banko su HTTPS jūsų vardu.
Jis taip pat galėtų naudoti „homografiją panašų HTTPS adresą“. Tai adresas, kuris atrodo identiškas jūsų banko ekranui, tačiau kuris iš tikrųjų naudoja specialius Unicode simbolius, todėl jis skiriasi. Šis paskutinis ir baisiausias išpuolių tipas yra žinomas kaip internacionalizuotas domeno vardo priepuolis. Išnagrinėkite Unicode simbolių rinkinį ir rasite simbolių, kurie iš esmės yra identiški 26 simboliams, naudojamiems lotyniškoje abėcėlėje. Galbūt „google.com“ yra prijungti, kad iš tikrųjų ne, o kiti simboliai.
Tai išsamiau aptarėme, kai peržiūrėjome pavojus, susijusius su viešojo „Wi-Fi“ taškinio tinklo naudojimu.
Žinoma, dažniausiai HTTPS veikia gerai. Labai tikėtina, kad, apsilankę kavinėje ir prisijungdami prie savo „Wi-Fi“, susidursite su tokiu protingu žmogų iš vidurio. Tikrasis dalykas yra tas, kad HTTPS turi tam tikrų rimtų problemų. Dauguma žmonių tai pasitiki ir nežino apie šias problemas, bet tai nėra beveik tobulas.
Vaizdo kreditas: Sarah Joy