5 Tõsised probleemid HTTPSi ja SSL-i turvalisusega veebis
HTTPS, mis kasutab SSL-i, pakub identiteedi kinnitamist ja turvalisust, nii et te teate, et olete ühendatud õigele veebisaidile ja keegi ei saa teid pealt kuulata. Igatahes on see teooria. Praktikas on SSL veebis omamoodi segadus.
See ei tähenda, et HTTPS ja SSL krüpteerimine on väärtusetud, sest nad on kindlasti palju paremad kui krüptimata HTTP-ühenduste kasutamine. Isegi halvimal juhul on ohustatud HTTPS-ühendus ainult ebakindel kui HTTP-ühendus.
Sertifikaatide asutuste arv
Teie brauseril on sisseehitatud usaldusväärsete sertifitseerimisasutuste nimekiri. Brauserid usaldavad ainult nende sertifikaatide väljastatud sertifikaate. Kui külastasite https://example.com, esitaks näide.ee veebiserver teile SSL-sertifikaadi ja teie brauser kontrolliks, kas usaldusväärse sertifikaadi asutus on välja andnud veebisaidi SSL-sertifikaadi näidisele.com. Kui sertifikaat on väljastatud mõnele teisele domeenile või kui seda ei väljastanud usaldusväärne sertifitseerimisasutus, näete oma brauseris tõsist hoiatust.
Üks peamine probleem on see, et sertifikaatide ametnikke on nii palju, seega võivad ühe sertifikaadiasutuse probleemid mõjutada kõiki. Näiteks võite VeriSignilt saada oma domeeni SSL-sertifikaadi, kuid keegi võib kompromisse teha või trikkida teist sertifikaadi asutust ja saada ka domeeni sertifikaadi.
Sertifitseerimisasutused ei ole alati inspireeritud
Uuringud on näidanud, et mõned sertifikaadiasutused ei ole sertifikaatide väljastamisel teinud isegi minimaalset hoolsuskohustust. Nad on väljastanud SSL-sertifikaate selliste aadressitüüpide jaoks, mis ei tohiks kunagi nõuda sertifikaati, näiteks „localhost”, mis esindab alati kohalikku arvutit. 2011. aastal leidis EKF üle 2000 kohaliku omavalitsuse sertifikaadi, mille on välja andnud seaduslikud ja usaldusväärsed sertifitseerimisasutused.
Kui usaldusväärse sertifikaadi ametivõimud on väljastanud nii palju sertifikaate, kontrollimata, et aadressid on isegi kehtivad, on loomulik küsida, milliseid muid vigu nad on teinud. Võib-olla on nad ründajatele väljastanud ka teiste isikute veebisaitidele volitamata sertifikaate.
Laiendatud valideerimise sertifikaadid või EV sertifikaadid püüavad selle probleemi lahendada. Oleme katnud SSL-sertifikaatidega seotud probleemid ja kuidas EV-sertifikaadid neid proovida.
Sertifitseerimisasutused võivad sundida võltsitud sertifikaate väljastama
Kuna sertifikaatide olemasolu on nii palju, on nad kõikjal maailmas ja iga sertifikaadiasutus võib väljastada sertifikaadi mis tahes veebisaidile. Valitsused võivad sundida sertifitseerimisasutusi väljastama neile SSL-sertifikaadi saidile, mida nad soovivad esineda.
See juhtus tõenäoliselt hiljuti Prantsusmaal, kus Google avastas, et prantsuse sertifitseerimisasutus ANSSI on väljastanud google.comi petturitunnistuse. Asutus oleks lubanud Prantsuse valitsusel või kellelgi teisel olla Google'i veebilehe kehastamine, kes suudaks kergesti läbi viia inimese keskel rünnakuid. ANSSI väitis, et sertifikaati kasutati ainult eravõrgus võrgu enda kasutajatele, mitte Prantsuse valitsusele. Isegi kui see oleks tõsi, oleks see sertifikaatide väljastamisel ANSSI enda eeskirjade rikkumine.
Täiuslikku tuleviku saladust ei kasutata kõikjal
Paljud saidid ei kasuta „täiuslikku edasi-salajasust”, mis muudab krüpteerimist raskemaks. Ilma täiusliku salajasuseta võib ründaja lüüa suure hulga krüpteeritud andmeid ja dekrüpteerida selle kõik ühe salajase võtmega. Me teame, et riiklikud julgeolekuasutused ja teised riiklikud julgeolekuametid koguvad neid andmeid. Kui nad avastavad veebisaidi aastat hiljem kasutatava krüpteerimisvõtme, saavad nad kasutada seda krüptitud andmete dekrüpteerimiseks, mida nad on kogunud selle veebisaidi ja kõigi sellega seotud isikute vahel.
Täiuslik salajasus aitab kaitsta selle eest, luues iga seansi jaoks unikaalse võtme. Teisisõnu, iga seanss on krüpteeritud erineva salajase võtmega, nii et neid ei saa ühe võtmega avada. See takistab kellelgi krüpteeritud andmete krüpteerimist korraga. Kuna väga vähesed veebisaidid kasutavad seda turvaelementi, on tõenäolisem, et riigi julgeolekuasutused saaksid kõik need andmed tulevikus dekrüpteerida.
Mees keset rünnakut ja Unicode'i tähemärki
Kahjuks on SSL-i abil ikka veel võimalik man-in-the-middle rünnakuid. Teoreetiliselt peaks olema turvaline ühendada avalikku Wi-Fi võrku ja pääseda ligi oma panga saidile. Te teate, et ühendus on turvaline, sest see on üle HTTPS-i ja HTTPS-ühendus aitab teil ka kinnitada, et olete teie pangaga tegelikult ühendatud.
Praktikas võib olla ohtlik ühendada oma panga veebisaidiga avalikus Wi-Fi-võrgus. On olemas riiulivälised lahendused, millel võib olla pahatahtlik hotspot, kes teeb keskel rünnakuid inimestega, kes sellega ühendust võtavad. Näiteks võib Wi-Fi hotspot teie pangaga ühendust võtta, saates andmeid edasi ja tagasi ning istudes keskel. See võib teid õrnalt suunata HTTP-lehele ja ühendada pangaga HTTPSiga teie nimel.
See võib kasutada ka "homograafia-sarnast HTTPS-aadressi." See on aadress, mis näeb välja teie pangaga samasugune nagu ekraanil, kuid mis tegelikult kasutab spetsiaalseid Unicode'i märke, nii et see on erinev. See viimane ja hirmuäratav rünnaku tüüp on tuntud kui rahvusvaheline domeeninime homograafirünnak. Uurige Unicode'i märgistikku ja leiate tähemärki, mis on põhiliselt identsed 26 tähemärgiga, mida kasutatakse ladina tähestikus. Võib-olla on teie google.com-i o-d ühendatud, et tegelikult ei ole, vaid on teised tähemärgid.
Me käsitlesime seda üksikasjalikumalt, kui vaatlesime avaliku Wi-Fi-hotspoti kasutamise ohtusid.
Muidugi töötab HTTPS suures osas hästi. On ebatõenäoline, et kohtate kohvikusse ja ühendate oma Wi-Fi-ga sellise targa inimese-keset rünnakut. Tegelikult on HTTPSil tõsiseid probleeme. Enamik inimesi usaldab seda ja ei tea neid probleeme, kuid see pole peaaegu täiuslik.
Pildi krediit: Sarah Joy