5 Сериозни проблеми с HTTPS и SSL сигурност в мрежата
HTTPS, който използва SSL, осигурява проверка на самоличността и сигурност, така че знаете, че сте свързани с правилния уебсайт и никой не може да ви подслушва. Това е теорията. На практика SSL в интернет е нещо като бъркотия.
Това не означава, че HTTPS и SSL криптирането са безполезни, тъй като те определено са много по-добри от използването на некриптирани HTTP връзки. Дори в най-лошия случай компрометираната HTTPS връзка ще бъде несигурна само като HTTP връзка.
Чист брой удостоверяващи органи
Вашият браузър има вграден списък на доверените органи за сертифициране. Браузърите само се доверяват на сертификати, издадени от тези сертификационни органи. Ако сте посетили https://example.com, уеб сървърът в example.com ще ви предостави SSL сертификат, а браузърът ви ще провери дали SSL сертификатът на уебсайта е издаден за example.com от доверен орган за сертифициране. Ако сертификатът е издаден за друг домейн или ако не е издаден от доверен орган за сертификати, ще видите сериозно предупреждение в браузъра си.
Един от основните проблеми е, че има толкова много сертифициращи органи, така че проблемите с един сертифициращ орган могат да засегнат всички. Например, можете да получите SSL сертификат за вашия домейн от VeriSign, но някой може да компрометира или да излъже друг сертифициращ орган и да получи сертификат за вашия домейн, също.
Удостоверяващите органи не винаги са вдъхвали увереност
Проучванията показват, че някои сертифициращи органи не са успели да направят дори минимален дълг при издаване на сертификати. Те издават SSL сертификати за типове адреси, които никога не трябва да изискват сертификат, като например "localhost", който винаги представлява локалния компютър. През 2011 г. ЕФР намери над 2000 сертификата за „localhost“, издадени от законни, доверени сертифициращи органи.
Ако доверените сертифициращи органи са издали толкова много сертификати, без да удостоверят, че адресите са валидни на първо място, естествено е да се чудите какви други грешки са направили. Вероятно те също са издавали неоторизирани сертификати за атакуващите уебсайтове на други хора.
Разширени сертификати за валидиране или сертификати за EV се опитват да разрешат този проблем. Разгледахме проблемите с SSL сертификатите и как EV сертификатите се опитват да ги разрешат.
Сертификатите могат да бъдат принудени да издават фалшиви сертификати
Тъй като има толкова много сертифициращи органи, те са навсякъде по света и всеки сертификационен орган може да издаде сертификат за всеки уебсайт, правителствата могат да принудят сертифициращите органи да им издадат SSL сертификат за сайт, който искат да представят.
Това вероятно се е случило наскоро във Франция, където Google е открил нелоялен сертификат за google.com, издаден от френския сертифициращ орган ANSSI. Властта би позволила на френското правителство или на който и да е друг, да се представят за уебсайта на Google, като лесно се изпълняват атаки от човек в средата. ANSSI твърди, че сертификатът е бил използван само в частна мрежа, за да приспива собствените потребители на мрежата, а не от френското правителство. Дори ако това беше вярно, би било нарушение на собствените политики на ANSSI при издаването на сертификати.
Съвършената тайна не се използва навсякъде
Много сайтове не използват „перфектна секретност напред“, техника, която би направила по-трудно криптирането. Без перфектна секретност напред атакуващият може да заснеме голямо количество криптирани данни и да декриптира всичко с един секретен ключ. Знаем, че НСА и други държавни агенции за сигурност по света улавят тези данни. Ако открият ключа за шифроване, използван от уебсайт години по-късно, те могат да го използват, за да дешифрират всички криптирани данни, които са събрали между този уебсайт и всеки, който е свързан с него.
Перфектната секретност напред спомага за защита срещу това чрез генериране на уникален ключ за всяка сесия. С други думи, всяка сесия е криптирана с различен секретен ключ, така че не всички те могат да бъдат отключени с един ключ. Това не позволява на някого да дешифрира огромно количество криптирани данни наведнъж. Тъй като много малко уебсайтове използват тази функция за сигурност, по-вероятно е агенциите за държавна сигурност да могат да дешифрират всички тези данни в бъдеще.
Човек в средните атаки и Unicode символи
За съжаление, атаките от средата на средата все още са възможни с SSL. На теория трябва да е безопасно да се свържете с обществена Wi-Fi мрежа и да влезете в сайта на вашата банка. Знаете, че връзката е защитена, защото е над HTTPS, а HTTPS връзката също ви помага да проверите дали всъщност сте свързани с банката си.
На практика може да е опасно да се свържете с уебсайта на банката си в обществена Wi-Fi мрежа. Има готови решения, които могат да доведат до злонамерен хотспот, който да изпълнява атаки от човек в средата на хора, които се свързват с него. Например, Wi-Fi хотспот може да се свърже с банката от ваше име, като изпраща данни назад и напред и седи в средата. Тя може да ви пренасочи към HTTP страница и да се свържете с банката с HTTPS от ваше име.
Може да се използва и „хомографски подобен HTTPS адрес“. Това е адрес, който изглежда идентичен на Вашата банка на екрана, но всъщност използва специални Unicode символи, така че е различен. Този последен и най-страшен вид атака е известен като атака на хомограф на интернационализирано име на домейн. Разгледайте набора от символи Unicode и ще намерите символи, които изглеждат идентични с 26-те знака, използвани в латиницата. Може би овете в google.com, към които сте свързани, всъщност не са "о", а са други знаци.
Ние разгледахме това по-подробно, когато разгледахме опасностите от използването на обществена Wi-Fi точка за достъп.
Разбира се, HTTPS работи добре през повечето време. Малко вероятно е да се сблъскате с такъв умен човек в средата, когато посетите кафене и се свържете с Wi-Fi. Истинският момент е, че HTTPS има някои сериозни проблеми. Повечето хора имат доверие в нея и не са наясно с тези проблеми, но не е почти перфектно.
Кредит за снимката: Сара Джой
