5 Resne težave z varnostjo HTTPS in SSL na spletu

HTTPS, ki uporablja SSL, zagotavlja preverjanje identitete in varnost, tako da veste, da ste povezani s pravilno spletno stranjo in nihče vas ne more prisluškovati. Kakorkoli že, to je teorija. V praksi je SSL na spletu nekako nered.

To ne pomeni, da sta šifriranje HTTPS in SSL brez vrednosti, saj sta definitivno veliko boljša kot uporaba nekriptiranih povezav HTTP. Tudi v najslabšem primeru bo ogrožena povezava HTTPS le nezanesljiva kot povezava HTTP.

Številko pooblaščenih oseb

Vaš brskalnik ima vgrajen seznam overjenih overiteljev. Brskalniki zaupajo samo potrdilom, ki jih izdajo ti organi za potrdila. Če ste obiskali https://example.com, vam bo spletni strežnik na example.com predstavil potrdilo SSL in vaš brskalnik bi preveril, ali je potrdilo SSL spletnega mesta za example.com izdal overjen overitelj. Če je bilo potrdilo izdano za drugo domeno ali če ga ni izdal overjen overitelj, boste v brskalniku videli resno opozorilo.

Velika težava je v tem, da obstaja toliko certifikacijskih organov, da lahko težave z enim certifikacijskim organom vplivajo na vse. Tako lahko na primer dobite potrdilo SSL za svojo domeno iz VeriSign, vendar bi lahko nekdo kompromitiral ali prelisičil drugo overitelje in prejel tudi potrdilo za vašo domeno..

Organi certifikata niso vedno navdihovali zaupanja

Študije so pokazale, da nekateri certifikacijski organi pri izdajanju potrdil niso izvedli niti minimalne potrebne skrbnosti. Izdali so potrdila SSL za vrste naslovov, ki ne bi smeli nikoli zahtevati potrdila, kot je »localhost«, ki vedno predstavlja lokalni računalnik. Leta 2011 je EFF našel več kot 2000 potrdil za „localhost“, ki so jih izdali zakoniti in zaupanja vredni certifikacijski organi.

Če so zaupanja vredni certifikacijski organi izdali toliko potrdil, ne da bi preverili, ali so naslovi celo veljavni, je povsem naravno, da se sprašujete, katere druge napake so naredili. Morda so napadalcem izdali tudi nepooblaščena potrdila za spletne strani drugih oseb.

Razširjena potrdila o validaciji ali potrdila EV poskušajo rešiti ta problem. Obravnavali smo težave s certifikati SSL in kako jih EV poskusi rešiti.

Organi za izdajo potrdil bi lahko bili prisiljeni izdati ponarejene certifikate

Ker obstaja toliko organov za izdajo certifikatov, da so po vsem svetu in lahko katera koli overitelj izda potrdilo za katero koli spletno mesto, bi lahko vlade oblasti potrdila izdale potrdilo SSL za spletno mesto, ki ga želijo predstavljati.

To se je verjetno zgodilo pred kratkim v Franciji, kjer je Google odkril prevarantski certifikat za google.com, ki ga je izdal francoski certifikacijski organ ANSSI. Organ bi dovolil francoski vladi ali kdorkoli drugemu, da bi se predstavljala kot Googlova spletna stran, z lahkoto izvajala napade človeka v sredini. ANSSI je trdil, da je bil certifikat uporabljen samo v zasebnem omrežju za brskanje po lastnih uporabnikih omrežja, ne pa v francoski vladi. Tudi če bi bilo to res, bi bila pri izdaji potrdil kršitev lastnih politik ANSSI.

Popolna tajnost se ne uporablja povsod

Mnoga spletna mesta ne uporabljajo »popolne tajnosti naprej«, tehnike, ki bi šifriranje otežila. Brez popolne tajnosti naprej lahko napadalec zajame veliko šifriranih podatkov in vse dešifrira z enim samim tajnim ključem. Vemo, da NSA in druge državne varnostne agencije po vsem svetu zajemajo te podatke. Če odkrijejo šifrirni ključ, ki ga spletno mesto uporablja več let kasneje, ga lahko uporabijo za dešifriranje vseh šifriranih podatkov, ki so jih zbrali med tem spletnim mestom, in vsem, ki so z njim povezani.

Popolna tajnost naprej pomaga zaščititi pred tem z ustvarjanjem edinstvenega ključa za vsako sejo. Z drugimi besedami, vsaka seja je šifrirana z drugačnim tajnim ključem, tako da ne morejo biti odklenjeni z enim samim ključem. To preprečuje, da bi nekdo dešifriral ogromno količino šifriranih podatkov naenkrat. Ker ta varnostna funkcija uporablja zelo malo spletnih mest, je bolj verjetno, da bodo lahko državne varnostne agencije v prihodnje dešifrirale vse te podatke.

Človek v srednjih napadih in znaki Unicode

Na žalost so možni napadi človeka v sredini s SSL. Teoretično bi moralo biti varno povezati se z javnim omrežjem Wi-Fi in dostopati do spletnega mesta svoje banke. Veste, da je povezava varna, ker je prek HTTPS, in povezava HTTPS vam pomaga tudi preveriti, ali ste dejansko povezani z banko.

V praksi je lahko nevarno povezati se s spletno stranjo banke v javnem omrežju Wi-Fi. Obstajajo rešitve, ki lahko vsebujejo zlonamerno vročo točko, ki izvaja napade človeka v sredini na ljudi, ki se z njo povezujejo. Na primer, dostopna točka Wi-Fi se lahko v vašem imenu poveže z banko in pošlje podatke naprej in nazaj ter sedi na sredini. Lahko bi vas prikrito preusmerili na stran HTTP in se v vašem imenu povezali z banko s protokolom HTTPS.

Uporabil bi lahko tudi »homografski podoben naslov HTTPS«. To je naslov, ki je na zaslonu enako kot vaša banka, vendar dejansko uporablja posebne znake Unicode, zato je drugačen. Ta zadnja in najstrašnejša vrsta napada je znana kot internacionalizirana homografska domena. Preglejte nabor znakov Unicode in našli boste znake, ki so v osnovi enaki 26 znakov, uporabljenih v latinici. Mogoče so o's v google.com, s katerimi ste povezani, dejansko niso o, ampak so drugi znaki.

To smo podrobneje obravnavali, ko smo si ogledali nevarnosti uporabe javne dostopne točke Wi-Fi.

Seveda pa HTTPS večino časa deluje dobro. Malo je verjetno, da boste pri takem pametnem napadu človeka v sredini naleteli na kavarno in se povezali z njihovim brezžičnim omrežjem. Resnično je, da ima HTTPS resne težave. Večina ljudi ji zaupajo in se ne zavedajo teh težav, vendar ni nikjer blizu popolnosti.

Zasluge za sliko: Sarah Joy