5 Озбиљни проблеми са ХТТПС и ССЛ безбедношћу на Вебу
ХТТПС, који користи ССЛ, обезбеђује проверу идентитета и безбедност, тако да знате да сте повезани са одговарајућом веб локацијом и нико вас не може прислушкивати. У сваком случају, то је теорија. У пракси, ССЛ на вебу је неред.
То не значи да су ХТТПС и ССЛ енкрипција безвриједни, јер су дефинитивно много бољи од кориштења нешифрованих ХТТП веза. Чак иу најгорем случају, компромитована ХТТПС веза ће бити једнако несигурна као ХТТП веза.
Број права ауторитета сертификата
Ваш прегледач има уграђену листу поузданих ауторитета цертификата. Претраживачи само поуздају цертификате које издају ови органи за издавање цертификата. Ако сте посетили хттпс://екампле.цом, веб сервер на екампле.цом представио би вам ССЛ сертификат и ваш прегледач би проверио да ли је ССЛ сертификат веб сајта издат за екампле.цом од стране поузданог ауторитета цертификата. Ако је цертификат издат за други домен или ако га није издао провјерени ауторитет цертификата, у прегледнику ћете видјети озбиљно упозорење.
Један од главних проблема је то што постоји толико много сертификационих тела, тако да проблеми са једним овлашћењем могу да утичу на све. На пример, можете добити ССЛ сертификат за свој домен из ВериСигн-а, али неко може компромитовати или преварити неки други ауторитет за цертификат и добити цертификат за ваш домен, такође.
Ауторитети сертификата нису увек инспирисали поверење
Студије су откриле да неки сертификациони органи нису успели да ураде ни минималну дужну пажњу приликом издавања сертификата. Они су издали ССЛ цертификате за типове адреса које никада не би требало да захтевају сертификат, као што је "лоцалхост", који увек представља локални рачунар. У 2011. години, ЕФФ је пронашао преко 2000 сертификата за “лоцалхост” издатих од легитимних, поузданих цертификацијских органа.
Ако су поуздани органи за издавање цертификата издали толико сертификата без провјере да су адресе чак и валидне, природно је питати се које су друге грешке направили. Можда су нападачима издали и неовлашћене сертификате за туђе сајтове.
Проширени цертификати валидације, или ЕВ цертификати, покушавају ријешити овај проблем. Ми смо покрили проблеме са ССЛ сертификатима и како ЕВ сертификати покушавају да их реше.
Ауторитети сертификата могу бити приморани да издају лажне цертификате
Пошто постоји толико много сертификационих ауторитета, они су свуда у свету, а било који ауторитет за цертификате може издати сертификат за било коју веб локацију, владе би могле да натерају ауторитете за издавање сертификата да им издају ССЛ сертификат за локацију коју желе да глуме.
Ово се вероватно десило недавно у Француској, где је Гоогле открио да је француски сертификациони орган АНССИ издао скривени цертификат за гоогле.цом. Власт би дозволила француској влади или било ком другом да се представи као Гооглеов сајт, лако извршавајући нападе човека у средини. АНССИ је тврдио да је сертификат коришћен само у приватној мрежи да би њушкао властитим корисницима мреже, а не од стране француске владе. Чак и да је то тачно, то би представљало кршење властитих политика АНССИ приликом издавања цертификата.
Савршена тајновитост се не користи свуда
Многе локације не користе “савршену тајност према напријед”, технику која би учинила енкрипцију тешом за ломљење. Без савршене тајности за напријед, нападач може ухватити велику количину шифрованих података и све то дешифрирати једним тајним кључем. Знамо да НСА и друге државне безбедносне агенције широм света хватају ове податке. Ако открију кључ за шифровање који се користи на веб-локацији неколико година касније, они га могу користити за дешифровање свих шифрованих података које су прикупили између те веб-локације и свих оних који су с њим повезани.
Савршена тајност унапред помаже у заштити од тога генеришући јединствени кључ за сваку сесију. Другим речима, свака сесија је шифрована различитим тајним кључем, тако да не могу бити откључани једним кључем. Ово спречава некога да одједном дешифрује огромну количину шифрованих података. Пошто веома мали број сајтова користи ову безбедносну функцију, већа је вероватноћа да ће агенције за државну безбедност у будућности моћи да дешифрују све ове податке.
Човек у средњим нападима и Уницоде знаковима
Нажалост, напади ман-ин-тхе-миддле су још увијек могући са ССЛ-ом. У теорији, требало би бити безбедно повезати се са јавном Ви-Фи мрежом и приступити локацији ваше банке. Знате да је веза сигурна јер је преко ХТТПС-а, а ХТТПС веза такође помаже да потврдите да сте заиста повезани са својом банком.
У пракси, може бити опасно повезати се са веб страницом банке на јавној Ви-Фи мрежи. Постоје решења која могу да имају злонамерни хотспот који извршава нападе на људе који се повезују са њим. На пример, Ви-Фи приступна тачка може да се повеже са банком у ваше име, шаље податке напред-назад и седи у средини. Могла би вас непримјетно преусмјерити на ХТТП страницу и повезати се с банком с ХТТПС-ом у ваше име.
Може се користити и "хомограпх-слична ХТТПС адреса". Ово је адреса која изгледа идентично Вашој банци на екрану, али која заправо користи посебне Уницоде знакове тако да је другачија. Ова последња и најстрашнија врста напада позната је као интернационализовани хомографски напад домена. Прегледајте Уницоде скуп знакова и наћи ћете знакове који изгледају у основи идентични са 26 знакова који се користе у латиници. Можда је о у гоогле.цом на коју сте повезани није заправо о, већ су други ликови.
Ово смо детаљније обрадили када смо погледали опасности од употребе јавне Ви-Фи приступне тачке.
Наравно, ХТТПС већину времена добро ради. Мало је вероватно да ћете наићи на тако паметног нападача у средини када посетите кафић и повежете се на Ви-Фи. Истина је да ХТТПС има озбиљних проблема. Већина људи има поверења у то и нису свесни ових проблема, али није ни близу савршеног.
Имаге Цредит: Сарах Јои