5 Ozbiljni problemi s HTTPS-om i SSL sigurnošću na webu
HTTPS, koji koristi SSL, osigurava provjeru identiteta i sigurnost, tako da znate da ste povezani s ispravnom web-lokacijom i da vas nitko ne može prisluškivati. U svakom slučaju, to je teorija. U praksi, SSL na webu je nered.
To ne znači da su HTTPS i SSL enkripcija bezvrijedni, jer su definitivno puno bolji od korištenja nešifriranih HTTP veza. Čak iu najgorem slučaju, kompromitirana HTTPS veza bit će samo nesigurna kao HTTP veza.
Broj odgovora izdavatelja certifikata
Vaš preglednik ima ugrađeni popis pouzdanih ustanova za izdavanje certifikata. Preglednici imaju povjerenje samo u certifikate koje izdaju ta tijela za izdavanje certifikata. Ako ste posjetili https://example.com, web-poslužitelj na example.com predstavit će vam SSL certifikat, a vaš će preglednik provjeriti je li SSL certifikat web-lokacije za example.com izdan od strane pouzdanog tijela za izdavanje certifikata. Ako je certifikat izdan za drugu domenu ili ako ga nije izdala pouzdana ustanova za izdavanje certifikata, u pregledniku ćete vidjeti ozbiljno upozorenje.
Jedan od glavnih problema je to što postoji mnogo certifikacijskih tijela, tako da problemi s jednim certifikatom mogu utjecati na svakoga. Na primjer, možete dobiti SSL certifikat za svoju domenu iz VeriSign-a, ali netko može kompromitirati ili prevariti neki drugi certifikat i dobiti certifikat za vašu domenu..
Tijela za izdavanje certifikata nisu uvijek inspirirala povjerenje
Studije su pokazale da neke institucije za izdavanje potvrda nisu uspjele napraviti čak ni minimalnu dubinsku analizu prilikom izdavanja potvrda. Izdali su SSL certifikate za vrste adresa koje nikada ne bi trebale zahtijevati certifikat, kao što je "localhost", koji uvijek predstavlja lokalno računalo. U 2011. godini, EFF je pronašao preko 2000 certifikata za “localhost” koje su izdali legitimni, pouzdani certifikacijski organi.
Ako su pouzdani certifikati izdali toliko certifikata bez provjere da su adrese uopće valjane, prirodno je zapitati se koje su druge pogreške napravili. Možda su napadačima izdali i neovlaštene certifikate za tuđe web-lokacije.
Prošireni certifikati valjanosti ili EV certifikati pokušavaju riješiti ovaj problem. Preispitali smo probleme sa SSL certifikatima i kako ih EV potvrde pokušavaju riješiti.
Tijela za izdavanje potvrda mogla bi biti prisiljena izdavati lažne certifikate
Budući da postoji toliko mnogo tijela za izdavanje certifikata, one su diljem svijeta, a bilo koje tijelo za izdavanje certifikata može izdati certifikat za bilo koju web-lokaciju, vlade bi mogle prisiliti nadležna tijela za izdavanje certifikata da im izdaju SSL certifikat za web-lokaciju koju žele predstavljati.
To se vjerojatno dogodilo nedavno u Francuskoj, gdje je Google otkrio da je francuski certifikacijski ured ANSSI izdao potvrdu za google.com. Vlast bi dopustila francuskoj vladi ili onome tko ga je imao da se oponašaju na Googleovoj web stranici, lako obavljajući napade čovjeka u sredini. ANSSI je tvrdio da je certifikat korišten samo u privatnoj mreži za njuškanje vlastitih korisnika mreže, a ne od strane francuske vlade. Čak i da je to točno, to bi bilo kršenje vlastitih politika ANSSI-ja prilikom izdavanja potvrda.
Savršena tajnovitost se ne koristi svugdje
Mnoge web-lokacije ne koriste "savršenu tajnost prema naprijed", tehniku koja bi učinila enkripciju teškom za lomljenje. Bez savršene tajnosti prema naprijed, napadač može uhvatiti veliku količinu šifriranih podataka i sve to dešifrirati jednim tajnim ključem. Znamo da NSA i druge državne sigurnosne agencije širom svijeta bilježe te podatke. Ako otkriju ključ za šifriranje koji web-lokacija koristi kasnije, mogu ga upotrijebiti za dešifriranje svih šifriranih podataka koje su prikupili između te web-lokacije i svih korisnika koji su s njom povezani.
Savršena tajnost unaprijed pomaže u zaštiti od toga generiranjem jedinstvenog ključa za svaku sesiju. Drugim riječima, svaka sesija je šifrirana različitim tajnim ključem, tako da ne mogu biti otključani jednim ključem. To sprječava da netko odjednom dešifrira veliku količinu šifriranih podataka. Budući da vrlo malo web-lokacija koristi ovu sigurnosnu značajku, veća je vjerojatnost da će državne sigurnosne agencije u budućnosti moći dešifrirati sve te podatke.
Čovjek u srednjim napadima i Unicode znakovima
Nažalost, napadi tipa "čovjek u sredini" još uvijek su mogući uz SSL. U teoriji, sigurno bi se trebalo povezati s javnom Wi-Fi mrežom i pristupiti web-lokaciji svoje banke. Znate da je veza sigurna jer je preko HTTPS-a, a HTTPS veza također pomaže da provjerite jeste li stvarno povezani s bankom.
U praksi, povezivanje s web-lokacijom banke na javnoj Wi-Fi mreži može biti opasno. Postoje gotova rješenja koja mogu imati zlonamjerni hotspot izvesti napade na ljude koji se povezuju s njim. Primjerice, Wi-Fi hotspot može se povezati s bankom u vaše ime, slanjem podataka naprijed-natrag i sjedenjem u sredini. Moglo bi vas neprimjetno preusmjeriti na HTTP stranicu i povezati se s bankom s HTTPS-om u vaše ime.
Može se koristiti i "homograph-slična HTTPS adresa". Ovo je adresa koja je identična Vašoj banci na zaslonu, ali koja zapravo koristi posebne Unicode znakove tako da je drugačija. Ova posljednja i najstrašnija vrsta napada poznata je kao internacionalizirani homografski naziv domene. Pregledajte Unicode skup znakova i naći ćete znakove koji izgledaju u osnovi jednaki 26 znakova korištenih u latinici. Možda je o u google.com na koju ste spojeni zapravo nije o, nego su drugi znakovi.
To smo detaljnije obradili kada smo pogledali opasnosti korištenja javne Wi-Fi pristupne točke.
Naravno, HTTPS većinu vremena dobro radi. Malo je vjerojatno da ćete naići na takvog pametnog napadača u sredini kada posjetite kafić i povežete se s Wi-Fi-jem. Istina je da HTTPS ima ozbiljnih problema. Većina ljudi joj vjeruje i nisu svjesni tih problema, ali to nije ni blizu savršenog.
Zasluge za sliku: Sarah Joy
