Tai nereiškia, kad HTTPS ir SSL šifravimas yra beverčiai, nes jie tikrai gerokai patys nei naudojant nešifruotus HTTP ryšius. Net blogiausiu atveju, sutrikdytas HTTPS ryšys bus tik toks pat nesaugus kaip HTTP ryšys.
Didžiausias sertifikatų įstaigų skaičius
Jūsų naršyklė turi įmontuotą patikimų sertifikatų tarnybų sąrašą. Naršyklės tik pasitiki sertifikatais, išduodamais šių sertifikatų institucijų. Jei apsilankėte https://example.com, žiniatinklio serveris example.com pateiktų jums SSL sertifikatą, o jūsų naršyklė patikrins, ar tinklalapio SSL sertifikatas išduotas, pavyzdžiui.com, patikimos sertifikavimo institucijos. Jei sertifikatas buvo išduotas kitam domenui arba jis nebuvo išduotas patikimos sertifikavimo institucijos, jūsų naršyklėje rodomas rimtas įspėjimas.
Viena iš pagrindinių problemų yra ta, kad egzistuoja tiek daug sertifikatų tarnybų, todėl problemų su viena sertifikatų institucija gali turėti įtakos visiems. Pvz., "VeriSign" galite gauti savo domeno SSL sertifikatą, tačiau gali pakenkti ar sugadinti kitą sertifikavimo įstaigą ir gauti jūsų domeno sertifikatą.
Sertifikato institucijos visada įkvėpė pasitikėjimą
Tyrimai parodė, kad kai sertifikatų tarnybos, atlikdamos sertifikatus, net minimaliai išnagrinėjo. Jie išdavė SSL sertifikatus adresų tipams, kuriems niekada nereikėtų gauti sertifikato, pvz., "Localhost", kuris visada reiškia vietinį kompiuterį. 2011 m. EŽF surinko daugiau kaip 2000 sertifikatų "localhost", kuriuos išdavė teisėtos patikimos sertifikavimo institucijos.
Jei patikimos sertifikatų institucijos išduoda tiek daug sertifikatų, netikrindamos, kad adresai netgi yra galiojantys pirmiausia, tai tik natūralu įdomu, kokių kitų klaidų jie padarė. Galbūt jie taip pat išdavė neautorizuotus sertifikatus kitų žmonių tinklalapiams užpuolikams.
Išplėstiniai patvirtinimo sertifikatai arba EV sertifikatai bando išspręsti šią problemą. Mes aptikome SSL sertifikatų problemas ir kaip EV sertifikatai bando juos išspręsti.
Sertifikato institucijos gali būti priverstos išduoti netikrus sertifikatus
Kadangi sertifikavimo institucijos yra tiek daug, jos yra visame pasaulyje, o bet kuri sertifikatų institucija gali išduoti sertifikatą bet kuriai interneto svetainei, vyriausybės gali priversti sertifikatų institucijas išduoti jiems SSL sertifikatą svetainėms, kurias jos nori apsimesti.
Tai tikriausiai atsitiko neseniai Prancūzijoje, kur "Google" atrado nesąžiningą "google.com" sertifikatą, kurį išdavė Prancūzijos sertifikavimo įstaiga ANSSI. Institucija būtų leidusi Prancūzijos vyriausybei ar visam kitam asmeniui įtvirtinti "Google" svetainę, lengvai atliekančią išpuolius tarp žmonių. ANSSI teigė, kad šis sertifikatas buvo naudojamas tik privačiame tinkle, siekiant išgirsti savo tinklo naudotojus, o ne Prancūzijos vyriausybę. Net jei tai būtų tiesa, išduodant sertifikatus tai būtų ANSSI pačios politikos pažeidimas.
"Perfect Forward Secrecy" nėra visur naudojamas
Daugelis svetainių nenaudoja "tobulo paslėpimo", kuris sugriežtino šifravimą. Neturėdami tobulos paslapties, užpuolikas gali užfiksuoti didelį kiekį užšifruotų duomenų ir iššifruoti visus su vienu slaptu raktu. Mes žinome, kad NSA ir kitos valstybės saugumo agentūros visame pasaulyje surenka šiuos duomenis. Jei jie atranda šifravimo raktą, kurį svetainė naudoja daugelį metų, jie gali jį naudoti, kad būtų iššifruoti visi šifruojami duomenys, kuriuos jie surinko tarp šios svetainės ir visų su juo susietų.
Ideali paslaptis į priekį padeda apsaugoti nuo to, sukuriant unikalų raktą kiekvienam seanso. Kitaip tariant, kiekviena sesija yra užšifruojama su skirtingu slaptu raktu, todėl jų negalima atrakinti vienu mygtuku. Tai neleidžia asmeniui iš karto iššifruoti daug šifruotų duomenų. Kadangi labai mažai svetainių naudoja šią saugumo funkciją, labiau tikėtina, kad valstybės saugumo agentūros ateityje galėtų iššifruoti visus šiuos duomenis.
Vyriausiasis atakas ir unicode simboliai
Deja, "man-in-the-middle" išpuoliai vis dar įmanomi naudojant SSL. Teoriškai turėtų būti saugu prisijungti prie viešojo "Wi-Fi" tinklo ir pasiekti banko svetainę. Jūs žinote, kad ryšys yra saugus, nes jis per HTTPS, o HTTPS ryšys taip pat padeda patikrinti, ar esate prijungtas prie jūsų banko.
Praktiškai gali būti pavojinga prisijungti prie banko svetainės viešajame "Wi-Fi" tinkle. Yra netvarkingų sprendimų, kurie gali sukelti piktybišką "hotspot", kad žmonės, kurie prie jo prisijungs, atliktų "žmogžudysčių" užpuolimus. Pavyzdžiui, "Wi-Fi" viešosios interneto prieigos taškas gali prisijungti prie banko jūsų vardu, siunčiant duomenis atgal ir į apačią bei sėdi viduryje. Tai gali nuversti jus į HTTP puslapį ir prisijungti prie banko naudodami HTTPS jūsų vardu.
Jis taip pat gali naudoti "homografo panašų HTTPS adresą". Tai yra adresas, kuris atrodo taip pat, kaip jūsų bankas ekrane, bet iš tikrųjų naudoja specialius Unicode simbolius, taigi jis skiriasi. Tai paskutinis ir baisiausias atakos tipas yra žinomas kaip tarptautinio domeno vardo homografijos ataka. Išnagrinėkite "Unicode" simbolių rinkinį ir pamatysite simbolius, iš esmės panašius į 26 simbolius, naudojamus lotynų abėcėlėje. Gali būti, kad "google" svetainėje, prie kurio esate prisijungę, "o" neveikia "o", bet yra kitų simbolių.
Išsamiau apibūdinome tai, kai pažvelgėme į pavojus, kad naudosite viešąjį "Wi-Fi" tašką.
Žinoma, daugeliu atvejų HTTPS veikia puikiai. Mažai tikėtina, kad aplankysite kavos parduotuvę ir prisijungsite prie savo "Wi-Fi", kai susidursite su tokiu protingu "atakoje". Tikras dalykas yra tai, kad "HTTPS" turi keletą rimtų problemų. Daugelis žmonių pasitiki šiais klausimais ir nežino apie šias problemas, tačiau tobulai nėra.
