27Jul
HTTPS identitásellenőrzést és biztonságot nyújt, így tudhatja, hogy csatlakozik a megfelelő webhelyhez, és senki sem teheti meg. Ez az elmélet. A gyakorlatban az SSL az interneten ilyen rendetlenség.
Ez nem jelenti azt, hogy a HTTPS és az SSL titkosítás értéktelen, hiszen ezek sokkal jobbak, mint a titkosítatlan HTTP kapcsolatok használata. Még a legrosszabb esetben a kompromittált HTTPS kapcsolat csak annyira bizonytalan, mint egy HTTP kapcsolat.
A tanúsítványt kiadó hatóságok határozott száma
A böngésző beépített listát tartalmaz a megbízható tanúsító hatóságoktól. A böngészők csak az e tanúsítvány-hatóságok által kiadott tanúsítványokat bízzák meg. Ha meglátogatta a https://example.com weboldalt, akkor a pp.com webes kiszolgáló SSL-tanúsítványt mutat be, és böngészője ellenőrizni fogja, hogy a webhely SSL-tanúsítványa a pelda.com webhelyen egy megbízható tanúsítvány-hatóságon keresztül lett-e kiadva. Ha a tanúsítványt egy másik domainre bocsátották ki, vagy ha nem állította ki egy megbízható tanúsítványt kibocsátó hatóság, komoly figyelmeztetést észlelne a böngészőben.
Az egyik legnagyobb probléma az, hogy olyan sok tanúsító hatóság van, így az egyik tanúsító hatósággal kapcsolatos problémák mindenkinek hatással lehetnek. Előfordulhat például, hogy a VeriSigntól kaphat SSL-tanúsítványt a domainhez, de valaki veszélyeztetheti vagy megcáfolhat egy másik tanúsítványt, és kaphat egy tanúsítványt a domainhez.
tanúsító hatóságok nem mindig inspirálták a bizalmat
Tanulmányok azt találták, hogy egyes tanúsító hatóságok nem tettek még minimális átvilágítást a tanúsítvány kiadásakor. SSL tanúsítványokat bocsátottak ki olyan címtípusokra, amelyek soha nem igényelnek olyan tanúsítványt, mint a "localhost", amely mindig a helyi számítógépet képviseli.2011-ben az EHA több mint 2000 tanúsítványt talált a "localhost" számára, amelyet törvényes, megbízható tanúsító hatóságok bocsátottak ki.
Ha a megbízható tanúsító hatóságok olyan sok igazolást bocsátottak ki anélkül, hogy igazolnák, hogy a címek még akkor is érvényesek, akkor csak természetes, hogy elgondolják, milyen hibákat követtek el. Talán jogosulatlan bizonyítványt bocsátottak a mások weboldalaihoz a támadók ellen.
A kiterjesztett érvényesítési tanúsítványok vagy az EV tanúsítványok próbálják megoldani ezt a problémát. Az SSL-tanúsítványokkal kapcsolatos problémákat fedeztük fel, és az EV tanúsítványok hogyan próbálják megoldani őket. Az
tanúsító hatóságoknak hamis bizonyítványt kell kiadniuk
Mivel sok bizonyítvánnyal rendelkező hatóság van, a világ minden tájáról van szó, és minden tanúsítványt kiadó tanúsítványt adhat ki bármely webhely számára, a kormányok arra kényszeríthetik a tanúsító hatóságokat, hogy SSL-tanúsítványt adjanak kiegy olyan helyszínre, amelyet szerettek volna megszemélyesíteni.
Ez valószínűleg a közelmúltban történt Franciaországban, ahol a Google felfedezett egy gazember bizonyítványt a google.com-ot a francia ANSSI tanúsító hatóság kiadta. A hatóság megengedte volna a francia kormánynak, vagy bárki másnak, hogy megszemélyesítse a Google weboldalát, és könnyedén elvégezhesse a "man-in-the-middle" támadásokat. Az ANSSI azt állította, hogy a tanúsítványt csak egy magánhálózaton használták fel a hálózat saját felhasználói, és nem a francia kormány. Még ha ez is igaz lenne, akkor a tanúsítványok kiállításakor megsértené az ANSSI saját politikáját.
A tökéletes távoli titoktartás nem mindenhol használatos
Sok helyen nem használják a "tökéletes előretekintést", olyan technikát, amely a titkosítást nehezebb feltörni. A tökéletes titoktartás nélkül a támadó nagy mennyiségű titkosított adatot foghatott le, és egyetlen titkos kulcsmal visszafejtheti. Tudjuk, hogy az NSA és a világ más állami biztonsági ügynökségei rögzítik ezeket az adatokat. Ha felfedezik a webhely által használt titkosítási kulcsot évekkel később, használhatják azt, hogy visszafejtsék az összes olyan titkosított adatot, amelyet összegyűjtöttek az adott webhely és a hozzá kapcsolódó személyek között.
A tökéletes titoktartás védelmet nyújt azáltal, hogy minden munkamenethez egyedi kulcsot generál. Más szavakkal, minden egyes munkamenet más titkos kulcsmal van titkosítva, így egyetlen kulcs nélkül nem szabad mindegyiket megnyitni. Ez megakadályozza, hogy valaki egyszerre titkosítsa a titkosított adatokat. Mivel nagyon kevés weboldal használja ezt a biztonsági szolgáltatást, valószínűbb, hogy az állami biztonsági szervek a jövőben visszafejthetik ezeket az adatokat.
Ember a középső támadásokban és Unicode karakterek
Sajnos, az ember a közepén támadások továbbra is lehetségesek az SSL használatával. Elméletileg biztonságosnak kell lennie a nyilvános Wi-Fi hálózathoz való csatlakozáshoz és a bank webhelyének eléréséhez. Tudja, hogy a kapcsolat biztonságos, mert túl van HTTPS protokollal, és a HTTPS-kapcsolat is segít annak ellenőrzésében, hogy ténylegesen csatlakozott-e a bankjához.
A gyakorlatban veszélyes lehet a bank webhelyének nyilvános Wi-Fi hálózaton való összekapcsolása. Vannak off-the-shelf megoldások, amelyeknek rosszindulatú hotspotja lehet az emberekkel szembeni támadások végrehajtása azok számára, akik csatlakoznak hozzá.Például egy Wi-Fi hotspot csatlakozhat a bankhoz az Ön nevében, adatokat küldhet oda és vissza, és középen ül. Lehet, hogy titokban átirányítja Önt egy HTTP oldalra, és csatlakozik a bankhoz HTTPS-nál az Ön nevében.
Használhat egy "homográf-hasonló HTTPS-címet" is. Ez egy olyan cím, amely azonos a bankjának a képernyőjén, de amely ténylegesen különleges Unicode karaktereket használ, így más. Ez a legutóbbi és legveszedelmesebb támadás a nemzetközileg ismert domain név homográfus támadásának. Vizsgálja meg a Unicode karakterkészletet, és olyan karaktereket talál, amelyek alapvetően megegyeznek a latin betűkkel használt 26 karakterrel. Talán az o a google.com-ban, amelyhez kapcsolódtál, valójában nem o, hanem más karakterek.
Ezt részletesebben áttekintettük, amikor az -re nézve felmerült a nyilvános Wi-Fi hotspot használatának veszélye.
Természetesen a HTTPS a legtöbb esetben jól működik. Nem valószínű, hogy ilyen okos, ember-in-the-middle támadást fogsz tapasztalni, amikor kávézóba látogatsz, és csatlakozol a Wi-Fi hálózathoz. Az igazi pont az, hogy a HTTPS-nek komoly problémái vannak. A legtöbb ember bízik benne, és nem ismeri ezeket a problémákat, de ez egyáltalán nem tökéletes.
képarány: Sarah Joy
