Homepage » hogyan kell » 5 Súlyos problémák a HTTPS és az SSL biztonsággal az interneten

    5 Súlyos problémák a HTTPS és az SSL biztonsággal az interneten

    Az SSL-t használó HTTPS azonosítást és biztonságot nyújt, így tudja, hogy csatlakozik a megfelelő webhelyhez, és senki sem hallhatja magát. Ez az elmélet. A gyakorlatban az SSL az interneten egyfajta rendetlenség.

    Ez nem jelenti azt, hogy a HTTPS és az SSL titkosítás értéktelen, mivel biztosan sokkal jobbak, mint a nem titkosított HTTP kapcsolatok használata. Még a legrosszabb esetben is, a veszélyeztetett HTTPS-kapcsolat csak olyan bizonytalan lesz, mint a HTTP-kapcsolat.

    A tanúsító hatóságok puszta száma

    A böngészője rendelkezik a megbízható tanúsítványokkal rendelkező hatóságok beépített listájával. A böngészők csak a tanúsítványok által kibocsátott tanúsítványokat bízzák meg. Ha meglátogatta a https://example.com webhelyet, a example.com webszerver SSL-tanúsítványt mutat be Önnek, és a böngészője ellenőrzi, hogy a webhely SSL-tanúsítványát egy megbízható tanúsítvány-hatóság kiadta-e a example.com számára. Ha a tanúsítványt egy másik domainhez adták ki, vagy ha azt nem egy megbízható tanúsító hatóság bocsátotta ki, komoly figyelmeztetést láthat a böngészőjében.

    Az egyik legfőbb probléma az, hogy annyi tanúsító hatóság van, így az egyik tanúsító hatósággal kapcsolatos problémák mindenkit érinthetnek. Például előfordulhat, hogy a VeriSign-től SSL-tanúsítványt kap a domainjéhez, de valaki kompromisszumot nyerhet, vagy más tanúsítvány-jogosítót is megragadhat, és tanúsítványt is kaphat a domainjéhez is.

    A tanúsítványok hatóságai nem mindig inspirálnak bizalmat

    A tanulmányok kimutatták, hogy egyes tanúsítvány-hatóságok nem tettek minimális gondosságot a tanúsítványok kiadásakor. SSL-tanúsítványokat bocsátottak ki olyan címek típusaira, amelyeknek soha nem kell igazolást kérniük, például a „localhost” -t, amely mindig a helyi számítógépet képviseli. 2011-ben az EHA több mint 2000 „localhost” tanúsítványt talált, amelyeket jogos, megbízható tanúsító hatóságok bocsátottak ki.

    Ha a megbízható tanúsító hatóságok olyan sok tanúsítványt adtak ki, hogy nem ellenőrizték, hogy a címek még mindig érvényesek, csak természetes, hogy vajon mi történt más hibával. Talán jogosulatlan tanúsítványokat is kiadtak a támadóknak a mások weboldalain.

    A kiterjesztett érvényesítési tanúsítványok vagy az EV tanúsítványok megpróbálják megoldani ezt a problémát. Az SSL-tanúsítványokkal kapcsolatos problémákat és az EV-tanúsítványok megpróbálják megoldani azokat.

    A tanúsítványok jogosultjai kénytelenek lennének hamis tanúsítványokat kiadni

    Mivel sok tanúsító hatóság van, az egész világon vannak, és bármely tanúsítvány-hatóság tanúsítványt adhat ki bármelyik webhelyre, a kormányok kényszeríthetik a tanúsító hatóságokat arra, hogy SSL-tanúsítványt adjanak ki egy olyan webhelyre, amelyre személyre kívánnak utalni.

    Ez valószínűleg nemrégiben történt Franciaországban, ahol a Google felfedezte a google.com gazember tanúsítványát, amelyet az ANSSI francia tanúsító hatóság adott ki. A hatóság megengedte volna a francia kormánynak vagy bárki másnak, hogy megszemélyesítse a Google webhelyét, és könnyen elvégezhesse az ember közepén fellépő támadásokat. Az ANSSI azt állította, hogy a tanúsítványt csak magánhálózatban használták a hálózat saját felhasználóira, nem pedig a francia kormányra. Még ha ez is igaz lenne, a tanúsítványok kiadásakor az ANSSI saját szabályainak megsértése lenne.

    A tökéletes előrejelzési titoktartás nem mindenütt használható

    Sok webhely nem használja a „tökéletes előre titkosságot”, egy olyan technikát, amely megnehezíti a titkosítás feltörését. Tökéletes előretekintés nélkül a támadó nagy mennyiségű titkosított adatot rögzíthet, és egy titkos kulccsal dekódolhatja. Tudjuk, hogy az NSA és más állambiztonsági ügynökségek világszerte rögzítik ezeket az adatokat. Ha felfedezik a webhely évek múlva használt titkosítási kulcsát, akkor felhasználhatják azt az összes titkosított adat visszafejtésére, amelyet a webhely és a hozzá kapcsolódó összes között gyűjtöttek össze.

    A tökéletes előremenő titoktartás segít megvédeni ezzel szemben az egyedi munkamenet-kulcsok létrehozásával. Más szavakkal, minden egyes munkamenetet más titkos kulccsal titkosítanak, így nem lehet egyetlen kulcssal kinyitni őket. Ez megakadályozza, hogy valaki egyidejűleg dekódolja a titkosított adatokat. Mivel nagyon kevés weboldal használja ezt a biztonsági funkciót, valószínűbb, hogy az állami biztonsági ügynökségek a jövőben dekódolhatják az összes adatot.

    Az ember a középső támadásokban és az Unicode karakterekben

    Sajnos az SSL-vel még mindig lehetséges a man-in-the-middle támadás. Elméletileg biztonságosnak kell lennie egy nyilvános Wi-Fi hálózathoz való csatlakozáshoz, és hozzáférnie kell a bank webhelyéhez. Tudja, hogy a kapcsolat biztonságos, mert HTTPS-en keresztül van, és a HTTPS-kapcsolat is segít abban, hogy ellenőrizze, hogy valóban csatlakozott-e a bankjához.

    A gyakorlatban veszélyes lehet, ha nyilvános Wi-Fi hálózaton csatlakozik a bank weboldalához. Vannak olyan off-the-shelf megoldások, amelyeknek egy rosszindulatú hotspot képes ember közepén támadásokat végrehajtani azokkal kapcsolatban, akik hozzá kapcsolódnak. Például egy Wi-Fi hotspot csatlakozhat a bankhoz az Ön nevében, adatokat küldhet oda-vissza, és középen ül. Lehet, hogy átirányíthatja Önt egy HTTP oldalra és csatlakozhat a bankhoz HTTPS segítségével az Ön nevében.

    Használhat egy „homográfia-hasonló HTTPS-címet” is. Ez egy olyan cím, amely megegyezik a képernyőn megjelenő bankjával, de valójában speciális Unicode-karaktereket használ, így más. Ez az utolsó és rettenetesebb támadási típus a nemzetközileg elismert domainnév homográfiai támadás. Vizsgálja meg az Unicode karakterkészletet, és olyan karaktereket talál, amelyek alapvetően azonosak a latin ábécében használt 26 karakterrel. Lehet, hogy a google.com-ban található okok nem kapcsolódnak hozzá, hanem más karakterek.

    Ezt részletesebben ismertettük, amikor megvizsgálta a nyilvános Wi-Fi hotspot használatának veszélyeit.


    Természetesen a HTTPS a legtöbb esetben jól működik. Nem valószínű, hogy találkozol egy ilyen ügyes ember-közepén támadással, amikor meglátogat egy kávézót és csatlakozik a Wi-Fi-hez. Az a lényeg, hogy a HTTPS-nek komoly problémái vannak. A legtöbb ember bízik benne, és nem ismeri ezeket a problémákat, de ez közel sem tökéletes.

    Képhitel: Sarah Joy