5 בעיות חמורות עם HTTPS ו SSL אבטחה באינטרנט
HTTPS, המשתמש ב- SSL, מספק אימות זהות ואבטחה, כך שאתה יודע שאתה מחובר לאתר הנכון ואף אחד לא יכול לצותת לך. זאת התיאוריה, בכל אופן. בפועל, SSL באינטרנט הוא סוג של בלגן.
זה לא אומר כי HTTPS ו- SSL ההצפנה הם חסרי ערך, כפי שהם בהחלט הרבה יותר טוב מאשר באמצעות חיבורי HTTP לא מוצפנים. אפילו בתרחיש המקרה הגרוע ביותר, חיבור HTTPS שנפגע יהיה רק חסר ביטחון כמו חיבור HTTP.
מספר מוחלט של רשויות האישור
בדפדפן שלך יש רשימה מובנית של רשויות אישורים מהימנות. הדפדפנים רק סומכים על אישורים שהונפקו על ידי רשויות האישורים האלה. אם ביקרת בכתובת https://example.com, שרת האינטרנט ב- example.com יציג לך אישור SSL והדפדפן שלך יבדוק כדי לוודא שהאישור של SSL של האתר הונפק עבור example.com על ידי רשות אישורים מהימנה. אם האישור הונפק עבור דומיין אחר או אם הוא לא הונפק על ידי רשות אישורים מהימנה, תראה אזהרה חמורה בדפדפן שלך.
אחת הבעיות העיקריות היא שיש כל כך הרבה רשויות אישורים, כך בעיות עם הסמכה אחת הסמכה יכול להשפיע על כולם. לדוגמה, ייתכן שתקבל אישור SSL עבור הדומיין שלך מ- VeriSign, אך מישהו עלול להתפשר או להטעות רשות אישורים אחרת ולקבל אישור עבור הדומיין שלך, מדי.
רשויות הסמכה לא תמיד השראה אמון
מחקרים מצאו כי כמה רשויות אישורים נכשלו לעשות אפילו בדיקת נאותות מינימלית בעת הנפקת תעודות. הם הנפיקו אישורי SSL לסוגי כתובות שאינם צריכים לקבל אישור, כגון "localhost", המייצג תמיד את המחשב המקומי. בשנת 2011, EFF מצא מעל 2000 אישורים עבור "localhost" שהונפקו על ידי רשויות הסמכה לגיטימי, מהימן.
אם רשויות אישורים מהימנות הוציאו כל כך הרבה תעודות בלי לוודא שהכתובות תקפות אפילו מלכתחילה, זה רק טבעי לתהות אילו טעויות אחרות עשו. אולי הם גם הנפיקו אישורים לא מורשים עבור אתרי אינטרנט של אנשים אחרים לתוקפים.
אישורי אימות מורחבים או אישורי EV, מנסים לפתור בעיה זו. אנחנו מכסים את הבעיות עם אישורי SSL וכיצד אישורי EV מנסים לפתור אותן.
רשויות אישור יכול להיות כפוי להנפיק תעודות מזויפות
מאחר שישנם רשויות אישורים רבות כל כך, הן נמצאות בכל רחבי העולם, וכל רשות אישורים יכולה להנפיק תעודה עבור כל אתר אינטרנט, ממשלות יכולות לאלץ רשויות אישורים להנפיק להן אישור SSL עבור אתר שאותו הם רוצים להתחזות.
זה כנראה קרה לאחרונה בצרפת, שם גוגל גילתה תעודה סוררת עבור google.com הוצאו על ידי רשות התעודה הצרפתית ANSSI. הרשות היתה מתירה לממשלה הצרפתית או למי שלא היה מחזה את אתר האינטרנט של גוגל, ומבצעת בקלות התקפות של אדם באמצע. ANSII טען כי התעודה שימשה רק ברשת פרטית כדי לחטט על המשתמשים של הרשת עצמה, לא על ידי ממשלת צרפת. גם אם זה היה נכון, זה יהיה הפרה של המדיניות של ANSII בעת הנפקת תעודות.
סודיות קדימה מושלם אינו משמש בכל מקום
אתרים רבים אינם משתמשים "סודיות קדימה מושלמת", טכניקה זה יגרום הצפנה קשה יותר לפצח. ללא סודיות קדימה מושלמת, תוקף יכול ללכוד כמות גדולה של נתונים מוצפנים לפענח את כל זה עם מפתח סודי אחד. אנו יודעים כי NSA ושאר סוכנויות ביטחון המדינה ברחבי העולם הם לכידת נתונים אלה. אם הם מגלים את מפתח ההצפנה שבו משתמש אתר אינטרנט שנים מאוחר יותר, הם יכולים להשתמש בו כדי לפענח את כל הנתונים המוצפנים שהם אספו בין אתר זה לבין כל מי שמחובר אליו.
סודיות קדימה מושלמת מסייעת להגן על זה על ידי יצירת מפתח ייחודי עבור כל מפגש. במילים אחרות, כל הפעלה מוצפנת עם מפתח סודי אחר, כך שהם לא יכולים להיות נעולים עם מפתח אחד. זה מונע מ מישהו decrypting כמות עצומה של נתונים מוצפנים בבת אחת. מאחר שמעט מאוד אתרי אינטרנט משתמשים בתכונת אבטחה זו, סביר יותר שסוכנויות האבטחה של המדינה יוכלו לפענח את כל הנתונים הללו בעתיד.
איש באמצע התקפות ותווי Unicode
למרבה הצער, אדם ב- the-the-mid התקפות עדיין אפשרי עם SSL. בתיאוריה, צריך להיות בטוח להתחבר לרשת Wi-Fi ציבורית ולגשת לאתר הבנק שלך. אתה יודע שהחיבור מאובטח מפני שהוא נמצא מעל HTTPS, וחיבור HTTPS מסייע לך גם לאמת שאתה בעצם מחובר לבנק שלך.
בפועל, ייתכן שיהיה זה מסוכן להתחבר לאתר הבנק שלך ברשת Wi-Fi ציבורית. ישנם פתרונות מדף שיכולים לקבל נקודה חמה זדונית לבצע התקפות של אדם-באמצע-על אנשים המתחברים אליו. לדוגמה, נקודה חמה של Wi-Fi עשויה להתחבר לבנק בשמך, לשלוח נתונים קדימה ואחורה ויושבת באמצע. זה יכול להפנות אותך בעדינות לדף HTTP ולהתחבר אל הבנק עם HTTPS בשמך.
הוא יכול גם להשתמש בכתובת HTTPS דומה ל- homograph. זוהי כתובת שנראית זהה לבנק שלך על המסך, אך למעשה משתמש בתווים מיוחדים של Unicode כך שזה שונה. זה האחרון ואת סוג מפחיד ביותר של התקפה ידוע בתור שם תחום בינלאומית התקפה homograph. בחן את התווים Unicode ותמצא תווים שנראים זהים במהותם ל -26 תווים המשמשים את האלפבית הלטיני. אולי o של google.com אתה מחובר הם לא ממש של O, אבל הם תווים אחרים.
עשינו את זה בפירוט רב יותר כאשר הסתכלנו על הסכנות של שימוש בנקודה חמה ציבורית Wi-Fi.
כמובן, HTTPS עובד בסדר רוב הזמן. זה לא סביר כי תיתקל כזה אדם חכם ב-באמצע התקפה כאשר אתה מבקר בבית קפה להתחבר Wi-Fi שלהם. הנקודה האמיתית היא כי HTTPS יש כמה בעיות חמורות. רוב האנשים סומכים על זה ולא מודעים לבעיות האלה, אבל זה לא מושלם.
קרדיט תמונה: שרה Joy