5 серьезных проблем с HTTPS и безопасностью SSL в сети
HTTPS, который использует SSL, обеспечивает проверку личности и безопасность, поэтому вы знаете, что вы подключены к нужному веб-сайту, и никто не сможет подслушать вас. Во всяком случае, это теория. На практике SSL в сети - это беспорядок.
Это не означает, что HTTPS и SSL-шифрование бесполезны, поскольку они определенно намного лучше, чем использование незашифрованных HTTP-соединений. Даже в худшем случае скомпрометированное HTTPS-соединение будет таким же небезопасным, как HTTP-соединение..
Огромное количество центров сертификации
Ваш браузер имеет встроенный список доверенных центров сертификации. Браузеры доверяют только сертификатам, выданным этими центрами сертификации. Если вы посетили https://example.com, веб-сервер example.com предоставит вам SSL-сертификат, и ваш браузер проверит, чтобы убедиться, что SSL-сертификат веб-сайта был выпущен для example.com доверенным центром сертификации. Если сертификат был выдан для другого домена или если он не был выдан доверенным центром сертификации, вы увидите серьезное предупреждение в своем браузере.
Одна из основных проблем заключается в том, что существует так много центров сертификации, поэтому проблемы с одним центром сертификации могут затронуть каждого. Например, вы можете получить сертификат SSL для своего домена от VeriSign, но кто-то может скомпрометировать или обмануть другой центр сертификации и получить сертификат для вашего домена..
Центры сертификации не всегда внушали доверие
Исследования показали, что некоторые центры сертификации не выполнили даже минимальную проверку при выдаче сертификатов. Они выпустили SSL-сертификаты для типов адресов, для которых никогда не требуется сертификат, например «localhost», который всегда представляет локальный компьютер. В 2011 году EFF обнаружил более 2000 сертификатов для «localhost», выданных законными доверенными центрами сертификации.
Если доверенные центры сертификации выпустили так много сертификатов, не проверяя, в первую очередь, действительны ли адреса, то естественно задаться вопросом, какие еще ошибки они допустили. Возможно, они также выдавали несанкционированные сертификаты для чужих веб-сайтов злоумышленникам..
Расширенные сертификаты проверки или сертификаты EV пытаются решить эту проблему. Мы рассмотрели проблемы с SSL-сертификатами и то, как EV-сертификаты пытаются их решить..
Центры сертификации могут быть вынуждены выдать поддельные сертификаты
Поскольку существует так много центров сертификации, они расположены по всему миру, и любой центр сертификации может выдать сертификат для любого веб-сайта, правительства могут заставить центры сертификации выдавать им сертификат SSL для сайта, который они хотят выдать за себя.
Это, вероятно, произошло недавно во Франции, где Google обнаружил мошеннический сертификат для google.com, выданный французским центром сертификации ANSSI. Власть позволила бы французскому правительству или тому, кто еще имел его, выдавать себя за веб-сайт Google, легко выполняя атаки «человек посередине». ANSSI утверждает, что сертификат использовался только в частной сети для слежки за собственными пользователями сети, а не правительством Франции. Даже если бы это было правдой, это было бы нарушением собственной политики ANSSI при выдаче сертификатов..
Совершенная прямая секретность не везде используется
Многие сайты не используют «совершенную прямую секретность», метод, который затруднит взлом шифрования. Без совершенной прямой секретности злоумышленник может захватить большое количество зашифрованных данных и расшифровать их все одним секретным ключом. Мы знаем, что АНБ и другие органы государственной безопасности по всему миру собирают эти данные. Если они обнаружат ключ шифрования, используемый веб-сайтом несколько лет спустя, они могут использовать его для расшифровки всех зашифрованных данных, которые они собрали между этим веб-сайтом и всеми, кто к нему подключен..
Совершенная прямая секретность помогает защитить от этого, генерируя уникальный ключ для каждой сессии. Другими словами, каждый сеанс шифруется с помощью другого секретного ключа, поэтому их нельзя разблокировать одним ключом. Это препятствует тому, чтобы кто-то расшифровал огромное количество зашифрованных данных одновременно. Поскольку очень немногие веб-сайты используют эту функцию безопасности, более вероятно, что органы государственной безопасности смогут расшифровать все эти данные в будущем..
Человек в середине Атаки и символы Юникода
К сожалению, атаки по принципу «человек посередине» все еще возможны с использованием SSL. Теоретически, должно быть безопасно подключаться к общедоступной сети Wi-Fi и получать доступ к сайту вашего банка. Вы знаете, что соединение защищено, потому что оно через HTTPS, и соединение HTTPS также помогает вам проверить, действительно ли вы подключены к своему банку..
На практике может быть опасно подключаться к веб-сайту вашего банка в общедоступной сети Wi-Fi. Существуют готовые решения, в которых злоумышленник может использовать злоумышленников для атак на людей, которые к нему подключаются. Например, точка доступа Wi-Fi может подключаться к банку от вашего имени, посылая данные взад и вперед и сидя посередине. Он может незаметно перенаправить вас на страницу HTTP и подключиться к банку с HTTPS от вашего имени..
Он также может использовать «гомографический HTTPS-адрес». Это адрес, который выглядит идентично вашему банку на экране, но на самом деле использует специальные символы Юникода, поэтому он другой. Этот последний и самый страшный тип атаки известен как интернационализированная атака с использованием доменных имен. Изучите набор символов Unicode, и вы найдете символы, которые в основном идентичны 26 символам, используемым в латинском алфавите. Может быть, o на google.com, к которому вы подключены, на самом деле не o, а другие символы.
Мы рассмотрели это более подробно, когда рассмотрели опасность использования публичной точки доступа Wi-Fi..
Конечно, большую часть времени HTTPS работает нормально. Маловероятно, что вы столкнетесь с такой умной атакой «человек посередине», когда посетите кафе и подключитесь к их Wi-Fi. Суть в том, что у HTTPS есть серьезные проблемы. Большинство людей доверяют этому и не знают об этих проблемах, но это далеко не идеально.
Кредит Фотографии: Сара Джой