Główna » jak » 5 Poważne problemy z zabezpieczeniami HTTPS i SSL w Internecie

    5 Poważne problemy z zabezpieczeniami HTTPS i SSL w Internecie

    HTTPS, który korzysta z protokołu SSL, zapewnia weryfikację tożsamości i bezpieczeństwo, dzięki czemu wiesz, że masz połączenie z odpowiednią witryną i nikt nie może Cię podsłuchiwać. Tak czy inaczej, to jest teoria. W praktyce SSL w sieci to rodzaj bałaganu.

    Nie oznacza to, że szyfrowanie HTTPS i SSL są bezwartościowe, ponieważ są zdecydowanie lepsze niż używanie niezaszyfrowanych połączeń HTTP. Nawet w najgorszym przypadku skompromitowane połączenie HTTPS będzie tak samo niebezpieczne, jak połączenie HTTP.

    Sama liczba urzędów certyfikacji

    Twoja przeglądarka ma wbudowaną listę zaufanych urzędów certyfikacji. Przeglądarki ufają tylko certyfikatom wydanym przez te urzędy certyfikacji. Jeśli odwiedziłeś https://example.com, serwer WWW w example.com przedstawiłby Ci certyfikat SSL, a Twoja przeglądarka sprawdzi, czy certyfikat SSL witryny został wystawiony dla example.com przez zaufany urząd certyfikacji. Jeśli certyfikat został wydany dla innej domeny lub nie został wydany przez zaufany ośrodek certyfikacji, zobaczysz poważne ostrzeżenie w przeglądarce.

    Jednym z głównych problemów jest to, że istnieje tak wiele urzędów certyfikacji, więc problemy z jednym urzędem certyfikacji mogą mieć wpływ na wszystkich. Na przykład możesz otrzymać certyfikat SSL dla swojej domeny od VeriSign, ale ktoś może również zhakować lub oszukać inny ośrodek certyfikacji i uzyskać certyfikat dla swojej domeny.

    Urzędy certyfikacji nie zawsze inspirują się zaufaniem

    Badania wykazały, że niektóre organy wydające certyfikaty nie przeprowadziły nawet minimalnej należytej staranności przy wydawaniu certyfikatów. Wydali certyfikaty SSL dla typów adresów, które nigdy nie wymagają certyfikatu, takich jak "localhost", który zawsze reprezentuje komputer lokalny. W 2011 r. EFF znalazł ponad 2000 certyfikatów dla "localhost" wydanych przez wiarygodne, zaufane urzędy certyfikacji.

    Jeśli zaufane urzędy certyfikacji wydały tak wiele certyfikatów bez sprawdzenia, czy adresy są w ogóle ważne, to naturalne jest zastanawianie się, jakie inne błędy popełnili. Być może wydali też nieautoryzowane certyfikaty dla stron internetowych innych osób atakującym.

    Certyfikaty Extended Validation lub EV, próbują rozwiązać ten problem. Omówiliśmy problemy związane z certyfikatami SSL i próbami ich rozwiązania przez certyfikaty EV.

    Urzędy certyfikacji mogą zostać zmuszone do wydania fałszywych certyfikatów

    Ponieważ jest tak wiele urzędów certyfikacji, są one na całym świecie, a każdy urząd certyfikacji może wydać certyfikat dla dowolnej witryny, rządy mogą zmusić urzędy certyfikacji do wystawienia certyfikatu SSL witryny, którą chcą podszyć się pod użytkownika..

    Prawdopodobnie stało się to ostatnio we Francji, gdzie Google odkrył fałszywy certyfikat dla google.com wydany przez francuski urząd certyfikacji ANSSI. Władza pozwoliłaby rządowi francuskiemu lub komukolwiek, kto to zrobił, na podszywanie się pod witrynę Google'a, z łatwością przeprowadzając ataki typu "man-in-the-middle". ANSSI twierdziło, że certyfikat był używany tylko w sieci prywatnej do szpiegowania użytkowników sieci, a nie przez rząd francuski. Nawet gdyby było to prawdą, byłoby to naruszeniem własnych zasad ANSSI podczas wydawania certyfikatów.

    Perfect Forward Secrecy nie jest używany wszędzie

    Wiele witryn nie używa "idealnej tajemnicy do przodu", co utrudnia szyfrowanie szyfrowania. Bez doskonałej poufności napastnik może przechwycić dużą ilość zaszyfrowanych danych i odszyfrować je za pomocą jednego tajnego klucza. Wiemy, że NSA i inne agencje bezpieczeństwa państwowego na całym świecie przechwytują te dane. Jeśli odkryją klucz szyfrowania używany przez witrynę internetową po latach, mogą go użyć do odszyfrowania wszystkich zaszyfrowanych danych, które zgromadzili między tą witryną a wszystkimi, którzy są z nią połączeni..

    Doskonała poufność w czasie rzeczywistym pomaga chronić się przed tym, generując unikalny klucz dla każdej sesji. Innymi słowy, każda sesja jest szyfrowana innym tajnym kluczem, więc nie wszystkie mogą zostać odblokowane za pomocą jednego klucza. Zapobiega to odszyfrowywaniu ogromnej ilości zaszyfrowanych danych naraz. Ponieważ bardzo niewiele stron internetowych korzysta z tej funkcji zabezpieczeń, bardziej prawdopodobne jest, że agencje bezpieczeństwa stanowego odszyfrują wszystkie te dane w przyszłości.

    Człowiek w środkowych atakach i znaki Unicode

    Niestety, ataki typu "man-in-the-middle" są nadal możliwe dzięki SSL. Teoretycznie bezpieczniej jest połączyć się z publiczną siecią Wi-Fi i uzyskać dostęp do witryny Twojego banku. Wiesz, że połączenie jest bezpieczne, ponieważ jest za pośrednictwem protokołu HTTPS, a połączenie HTTPS pomaga również zweryfikować, czy rzeczywiście masz połączenie z bankiem.

    W praktyce połączenie z witryną banku w publicznej sieci Wi-Fi może być niebezpieczne. Istnieją gotowe rozwiązania, które mogą powodować, że złośliwy hotspot wykonuje ataki typu "man-in-the-middle" na osoby, które się z nim łączą. Na przykład punkt dostępu Wi-Fi może połączyć się z bankiem w Twoim imieniu, przesyłając dane tam iz powrotem i siedząc w środku. Może to podstępnie przekierować cię na stronę HTTP i połączyć się z bankiem za pomocą protokołu HTTPS w Twoim imieniu.

    Może również użyć "podobnego do homografu adresu HTTPS". Jest to adres, który wygląda identycznie jak twój bank na ekranie, ale który używa specjalnych znaków Unicode, więc jest inny. Ten ostatni i najbardziej przerażający rodzaj ataku znany jest jako atak na homograficzną nazwę domeny. Sprawdź zestaw znaków Unicode, a znajdziesz znaki, które wyglądają w zasadzie identycznie jak 26 znaków używanych w alfabecie łacińskim. Być może adresy O w witrynie google.com, z którymi jesteś połączony, nie są w rzeczywistości "O", ale są innymi postaciami.

    Omówiliśmy to bardziej szczegółowo, gdy przyjrzeliśmy się niebezpieczeństwom korzystania z publicznego hotspotu Wi-Fi.


    Oczywiście protokół HTTPS działa dobrze przez większość czasu. Jest mało prawdopodobne, że natrafisz na tak sprytny atak typu "człowiek w środku", gdy odwiedzasz kawiarnię i łączysz się z siecią Wi-Fi. Prawdą jest, że HTTPS ma poważne problemy. Większość ludzi wierzy w to i nie zdaje sobie sprawy z tych problemów, ale nie jest nawet idealna.

    Image Credit: Sarah Joy