Kotisivu » miten » 5 Vakavia ongelmia HTTPS- ja SSL-suojauksen avulla verkossa

    5 Vakavia ongelmia HTTPS- ja SSL-suojauksen avulla verkossa

    HTTPS, joka käyttää SSL: ää, tarjoaa henkilöllisyyden todentamisen ja suojauksen, joten tiedät, että olet yhteydessä oikeaan verkkosivustoon, eikä kukaan voi kuunnella sinua. Se on kuitenkin teoria. Käytännössä SSL on verkossa sotkuinen.

    Tämä ei tarkoita, että HTTPS- ja SSL-salaukset ovat arvottomia, koska ne ovat varmasti paljon parempia kuin salaamattomien HTTP-yhteyksien käyttäminen. Jopa pahimmassa tapauksessa, vaarantunut HTTPS-yhteys on vain epävarma kuin HTTP-yhteys.

    Todistusten myöntäjien lukumäärä

    Selaimessasi on sisäänrakennettu luettelo luotettavista sertifikaattiviranomaisista. Selaimet luottavat vain näiden varmentajien myöntämiin varmenteisiin. Jos olet käynyt https://example.com -sivustossa, esimerkki.fi-palvelin esittelee sinulle SSL-varmenteen ja selaimesi tarkistaa, että luotettavan varmenteen viranomainen on antanut verkkosivuston SSL-varmenteen esimerkille.com. Jos varmenne on myönnetty toiselle verkkotunnukselle tai jos sitä ei myöntänyt luotettava varmentajaviranomainen, näet selaimesi vakavan varoituksen.

    Yksi merkittävä ongelma on se, että sertifikaattiviranomaisia ​​on niin paljon, joten yhden sertifiointiviranomaisen ongelmat voivat vaikuttaa kaikkiin. Saatat esimerkiksi saada verkkotunnuksellesi SSL-sertifikaatin VeriSigniltä, ​​mutta joku voi vaarantaa tai huijata toisen varmentajan ja saada sertifikaatin myös verkkotunnuksellesi.

    Todistuksen myöntäjät eivät ole aina innoittaneet luottamusta

    Tutkimuksissa on todettu, että jotkut sertifikaattiviranomaiset eivät ole tehneet varsin vähäistä huolellisuutta sertifikaattien myöntämisessä. He ovat antaneet SSL-varmenteita sellaisille osoitetyypeille, joiden ei pitäisi koskaan vaatia sertifikaattia, kuten "localhost", joka edustaa aina paikallista tietokonetta. Vuonna 2011 Euroopan kalatalousrahasto löysi yli 2000 "localhost" -sertifikaattia, jotka ovat antaneet laillisten, luotettavien sertifiointiviranomaisten myöntämät.

    Jos luotettavat sertifikaattiviranomaiset ovat antaneet niin paljon varmenteita varmentamatta, että osoitteet ovat jopa päteviä, on luonnollista pohtia, mitä muita virheitä he ovat tehneet. Ehkä he ovat myös antaneet hyökkääjille muiden henkilöiden verkkosivuille luvattomia varmenteita.

    Laajennettu validointitodistus tai EV-todistus yrittää ratkaista tämän ongelman. Olemme käsitelleet SSL-varmenteiden ongelmia ja sitä, miten EV-varmenteet yrittävät ratkaista ne.

    Sertifikaattiviranomaiset voivat joutua antamaan väärennettyjä sertifikaatteja

    Koska sertifikaattiviranomaisia ​​on niin paljon, he ovat ympäri maailmaa, ja jokainen sertifikaattiviranomainen voi myöntää sertifikaatin mille tahansa verkkosivustolle..

    Tämä tapahtui luultavasti äskettäin Ranskassa, jossa Google löysi google.comin rogue-todistuksen, jonka Ranskan sertifikaattiviranomainen ANSSI oli antanut. Viranomainen olisi antanut Ranskan hallitukselle tai kenelle tahansa muille sen, että se antaisi Googlen verkkosivuston, joka olisi helposti suoritettavissa ihmisen välissä. ANSSI väitti, että todistusta käytettiin vain yksityisessä verkossa, jotta se katkesi verkon omat käyttäjät, ei Ranskan hallitus. Vaikka tämä olisi totta, se olisi ANSSI: n omien sääntöjen rikkominen todistusten myöntämisessä.

    Perfect Forward Secrecyyn käyttöä ei käytetä kaikkialla

    Monet sivustot eivät käytä "täydellistä eteenpäin salaamista", tekniikkaa, joka tekisi salauksen hankalammaksi. Ilman täydellistä salassapitoa hyökkääjä voi kaapata suuren määrän salattuja tietoja ja purkaa sen kokonaan yhdellä salaisella avaimella. Tiedämme, että kansalliset turvallisuusviranomaiset ja muut valtion turvallisuusvirastot ympäri maailmaa vangitsevat nämä tiedot. Jos he havaitsevat verkkosivuston käyttämän salausavaimen vuosia myöhemmin, he voivat käyttää sitä purkamaan kaikki salatut tiedot, jotka ne ovat keränneet kyseisen verkkosivuston ja kaikkien siihen liitettyjen henkilöiden välillä.

    Täydellinen eteenpäin-salaisuus auttaa suojaamaan tätä luomalla yksilöllisen avaimen jokaiselle istunnolle. Toisin sanoen jokainen istunto salataan eri salaisella avaimella, joten niitä ei voida avata yhdellä avaimella. Tämä estää jonkun purkamasta valtavan määrän salattuja tietoja kerralla. Koska hyvin harvat sivustot käyttävät tätä suojausominaisuutta, on todennäköisempää, että valtion turvallisuusvirastot voivat purkaa kaikki nämä tiedot tulevaisuudessa.

    Mies Lähi-hyökkäyksissä ja Unicode-merkit

    Valitettavasti SSL: n kanssa on edelleen mahdollista käyttää keski-iskuja. Teoriassa on turvallista muodostaa yhteys julkiseen Wi-Fi-verkkoon ja käyttää pankin sivustoa. Tiedät, että yhteys on turvallinen, koska se on yli HTTPS-yhteyden, ja HTTPS-yhteys auttaa myös varmistamaan, että olet todella yhteydessä pankkisi.

    Käytännössä saattaa olla vaarallista muodostaa yhteys pankin verkkosivustoon julkisessa Wi-Fi-verkossa. On olemassa off-the-shelf -ratkaisuja, joilla voi olla haitallinen hotspot, joka hyökkää keskeltä hyökkäyksiin ihmisiin, jotka yhdistävät siihen. Esimerkiksi Wi-Fi-palvelupiste saattaa muodostaa yhteyden pankkiin puolestasi ja lähettää tietoja edestakaisin ja istua keskellä. Se voi ohjata sinut hiukan uudelleen HTTP-sivulle ja muodostaa yhteyden pankkiin HTTPS: llä puolestasi.

    Se voisi myös käyttää "homografia-vastaavaa HTTPS-osoitetta." Tämä on osoite, joka näyttää samanlaiselta kuin pankin näytöllä, mutta joka todella käyttää erityisiä Unicode-merkkejä, joten se on erilainen. Tämä viimeinen ja pelottavin hyökkäys tunnetaan nimellä kansainvälistetty verkkotunnushomografi-hyökkäys. Tutki Unicode-merkistöä ja löydät merkkejä, jotka näyttävät pohjimmiltaan samanlaisilta kuin 26 merkkiä, joita käytetään latinalaisessa aakkosessa. Ehkä olet google.com: n o-yhteyksissä, joihin et ole oikeastaan ​​o, mutta ovat muita merkkejä.

    Käsittelimme tätä tarkemmin, kun tarkastelimme julkisen Wi-Fi-hotspotin käytön vaaroja.


    HTTPS toimii luonnollisesti suurimman osan ajasta. On epätodennäköistä, että kohtaat sellaisen älykkään hyökkäyksen, kun vierailet kahvilassa ja muodostat yhteyden Wi-Fi-verkkoon. Todellinen asia on, että HTTPS: llä on joitakin vakavia ongelmia. Useimmat ihmiset luottavat siihen eivätkä ole tietoisia näistä ongelmista, mutta se ei ole läheskään täydellinen.

    Kuvaluotto: Sarah Joy