5 Vážne problémy so zabezpečením HTTPS a SSL na webe
Služba HTTPS, ktorá používa protokol SSL, zabezpečuje overenie totožnosti a bezpečnosť, takže viete, že ste pripojení na správny web a nikto vás nemôže odposlúchať. To je teória. V praxi je SSL na webe trochu neporiadok.
To neznamená, že šifrovanie HTTPS a SSL je bezcenné, pretože sú oveľa lepšie ako používanie nešifrovaných spojení HTTP. Aj v najhoršom prípade bude kompromitované pripojenie HTTPS iba neisté ako pripojenie HTTP.
Veľký počet certifikačných autorít
Váš prehliadač obsahuje vstavaný zoznam autorít dôveryhodných certifikátov. Prehliadače veria iba certifikáty vydané týmito certifikačnými úradmi. Ak ste navštívili stránku https://example.com, webový server na adrese example.com by vám poskytol certifikát SSL a váš prehliadač by skontroloval, či sa certifikát SSL webových stránok vydal na adrese example.com dôveryhodným certifikačným orgánom. Ak bol certifikát vydaný pre inú doménu alebo ak nebol vydaný dôveryhodným certifikačným orgánom, v prehliadači by ste mali vidieť vážne upozornenie.
Jedným z hlavných problémov je, že existuje toľko certifikačných autorít, takže problémy s jednou certifikačnou autoritou môžu mať vplyv na každého. Môžete napríklad získať certifikát SSL pre vašu doménu zo služby VeriSign, ale niekto by mohol kompromitovať alebo trikovať inú certifikačnú autoritu a získať aj certifikát pre vašu doménu.
Certifikačné autority nie vždy inšpirujú dôveru
Štúdie zistili, že niektoré certifikačné autority pri vydávaní certifikátov nedokázali ani minimálnu povinnú starostlivosť. Vydali certifikáty SSL pre typy adries, ktoré by nikdy nemali vyžadovať certifikát, ako napríklad "localhost", ktorý vždy predstavuje lokálny počítač. V roku 2011 získal EFF viac ako 2000 certifikátov pre "localhost", ktoré vydali oprávnené, dôveryhodné certifikačné autority.
Ak úrady s dôveryhodnými certifikátmi vydali toľko certifikátov bez toho, aby overili, že adresy sú v prvom rade platné, je len prirodzené sa diviť, aké ďalšie chyby urobili. Možno tiež vydali neoprávnené certifikáty na webové stránky iných ľudí pre útočníkov.
Rozšírené overovacie certifikáty alebo certifikáty EV sa pokúšajú vyriešiť tento problém. Objavili sme problémy s certifikátmi SSL a ako sa ich snažia vyriešiť EV certifikáty.
Certifikačné orgány by mohli byť nútené vydávať falošné certifikáty
Pretože existuje toľko certifikačných autorít, sú na celom svete a každá certifikačná autorita môže vydávať certifikát pre akúkoľvek webovú stránku, vlády môžu prinútiť certifikačné autority, aby im vydali certifikát SSL pre stránky, ktoré sa chcú vydávať.
To sa pravdepodobne stalo nedávno vo Francúzsku, kde spoločnosť Google objavila certifikát neoprávneného používania stránky google.com, ktorú vydala francúzska certifikačná autorita ANSSI. Autorita by dovolila francúzskej vláde alebo ktokoľvek inému, aby sa vydávala za webovú stránku spoločnosti Google a ľahko vykonávala útoky medzi mužmi. Spoločnosť ANSSI tvrdila, že certifikát bol používaný iba v súkromnej sieti na to, aby sa pozeral na vlastných používateľov siete, nie na francúzsku vládu. Aj keby to bolo pravda, bolo by to pri porušovaní vlastných pravidiel ANSSI pri vydávaní certifikátov.
Perfektné predošlé tajomstvo sa nepoužíva všade
Mnoho stránok nepoužíva "dokonalé tajomstvo dopredu", čo by spôsobilo, že šifrovanie sa sťažuje. Bez dokonalého utajenia vopred môže útočník zachytiť veľké množstvo šifrovaných údajov a dešifrovať to všetkým jediným tajným kľúčom. Vieme, že NSA a iné štátne bezpečnostné agentúry po celom svete zachytia tieto údaje. Ak objavia šifrovací kľúč používaný webovými stránkami o niekoľko rokov neskôr, môžu ich použiť na dešifrovanie všetkých šifrovaných údajov, ktoré zhromaždili medzi touto webovou lokalitou a každým, kto je k nej pripojený.
Perfektné utajenie dopredu pomáha chrániť proti tomuto vytvoreniu jedinečného kľúča pre každú reláciu. Inými slovami, každá relácia je šifrovaná iným tajným kľúčom, takže nie je možné ich odomknúť jedným kľúčom. To zabraňuje niekomu, aby dešifroval obrovské množstvo šifrovaných dát naraz. Pretože veľmi málo webových stránok používa túto bezpečnostnú funkciu, je pravdepodobnejšie, že štátne bezpečnostné agentúry budú môcť v budúcnosti dešifrovať všetky tieto údaje.
Muž v stredných útokoch a znaky Unicode
Bohužiaľ, útoky typu man-in-the-middle sú stále možné pomocou SSL. Teoreticky by malo byť bezpečné pripojenie k verejnej sieti Wi-Fi a prístup k vašej banke. Viete, že pripojenie je zabezpečené, pretože je cez protokol HTTPS a pripojenie HTTPS tiež pomáha overiť, či ste skutočne pripojení k svojej banke.
V praxi by mohlo byť nebezpečné pripojiť sa na internetovú stránku vašej banky vo verejnej sieti Wi-Fi. Existujú mimoriadne riešenia, ktoré môžu mať zlomyseľný hotspot, vykonávať útoky typu "man-in-the-middle" na ľudí, ktorí sa k nemu pripojili. Napríklad, hotspot Wi-Fi sa môže pripojiť k banke vo vašom mene, posielať dáta tam a späť a sedieť uprostred. Mohlo by ťa skreslene presmerovať na stránku HTTP a pripojiť sa k banke pomocou protokolu HTTPS vo svojom mene.
Mohlo by tiež použiť adresu HTTPS podobnú homografii. Toto je adresa, ktorá vyzerá rovnako ako vaša banka na obrazovke, ale ktorá skutočne používa špeciálne znaky Unicode, takže je to iné. Tento posledný a najstrašnejší typ útoku je známy ako internacionalizovaný homografický útok. Preskúmajte znakovú sadu Unicode a nájdete znaky, ktoré vyzerajú v podstate identické s 26 znakmi použitými v latinke. Možno, že o v google.com, do ktorého ste pripojený, nie sú vlastne o, ale sú to iné postavy.
Pokryli sme to podrobnejšie, keď sme sa pozreli na nebezpečenstvo používania verejného Wi-Fi hotspotu.
Samozrejme, HTTPS funguje väčšinu času. Je nepravdepodobné, že pri návšteve kaviarne a pripojení k Wi-Fi sa stretnete s takým chytrým útokom medzi mužmi. Skutočným bodom je, že HTTPS má vážne problémy. Väčšina ľudí tomu dôveruje a tieto problémy si neuvedomujú, ale nie je ani tak dokonalá.
Obrazový kredit: Sarah Joy