праблемы з шыфраваннем-https-і-ssl

HTTPS, які выкарыстоўвае SSL, забяспечвае праверку пасведчання асобы і бяспеку, таму вы ведаеце, што вы падлучаны да правільнага вэб-сайта, і ніхто не можа падслухаць вас. Гэта тэорыя, у любым выпадку. На практыцы SSL у Сеціве - гэта нейкая каша.

Гэта не значыць, што шыфраванне HTTPS і SSL не варта, бо яны, безумоўна, значна лепш, чым выкарыстанне незашыфраваных HTTP-злучэнняў. Нават у горшым выпадку сапсаванае злучэнне HTTPS будзе такім жа небяспечным, як і злучэнне HTTP.

Аб'ёмная колькасць сертыфікатаў

Звязаныя: Што такое HTTPS і чаму я павінен клапаціцца?

У вашым браўзэры ёсць убудаваны спіс давераных органаў сертыфікацыі. Аглядальнікі выдаюць гэтыя сертыфікацыйныя органы толькі сертыфікаты. Калі вы наведалі https://example.com, вэб-сервер example.com прадставіць вам сертыфікат SSL, і ваш браўзэр правярае, каб SSL сертыфікат сайта быў выдадзены для сайта example.com давераным органам сертыфікацыі. Калі сертыфікат быў выдадзены для іншага дамена альбо не быў выдадзены правераным органам сертыфікацыі, вы ўбачылі браўзэр сур'ёзным папярэджаннем.

Адна з галоўных праблем складаецца ў тым, што існуе так шмат сертыфікатаў, таму праблемы з адным органам сертыфікацыі могуць закрануць усіх. Напрыклад, вы можаце атрымаць сертыфікат SSL для вашага дамена ад VeriSign, але хтосьці можа паставіць пад пагрозу ці падмануць іншы орган сертыфікацыі і атрымаць сертыфікат і на ваш дамен.

давераныя-root-сертыфікацыйныя ўлады

Органы сертыфікацыі не заўсёды выклікалі давер

ЗВЯЗАНАЯ: Як аглядальнікі пацвярджаюць ідэнтыфікацыю вэб-сайта і абараняюць ад самазванцаў

Даследаванні паказалі, што некаторыя сертыфікацыйныя органы не выдаюць нават мінімальную належную праверку пры выдачы сертыфікатаў. Яны выдалі сертыфікаты SSL для тыпаў адрасоў, якія ніколі не павінны патрабаваць сертыфікат, напрыклад, "localhost", які заўсёды ўяўляе лакальны кампутар. У 2011 годзе EFF знайшоў больш за 2000 сертыфікатаў на "localhost", выдадзеных законнымі, надзейнымі сертыфікацыйнымі органамі.

Калі давераныя сертыфікацыйныя органы выдалі столькі сертыфікатаў, не пераканаўшыся, што адрасы ў першую чаргу справядлівыя, толькі задумацца, якія іншыя памылкі яны дапусцілі. Магчыма, яны таксама выдалі злачынцам несанкцыянаваныя сертыфікаты на сайты іншых людзей.

Пашыраныя сертыфікацыі праверкі або сертыфікаты EV спрабуюць вырашыць гэтую праблему. Мы разгледзелі праблемы з сертыфікатамі SSL і тое, як сертыфікаты EV спрабуюць іх вырашыць.

Органы сертыфікацыі могуць быць прыцягнуты да выдачы падробленых сертыфікатаў

Паколькі існуе вельмі шмат сертыфікатаў, яны знаходзяцца ва ўсім свеце, і любы сертыфікацыйны орган можа выдаваць сертыфікат на любым вэб-сайце, урад можа прымусіць органы па сертыфікацыі выдаваць ім сертыфікат SSL для сайта, на які яны хочуць сябе прадставіць.

Верагодна, гэта адбылося нядаўна ў Францыі, дзе Google выявіў ізгойны сертыфікат для google.com, выдадзены французскім органам па сертыфікацыі ANSSI. Улада дазволіла б французскаму ўраду альбо таму, хто яго іншым, прадставіць сайт Google, лёгка здзяйсняючы напады чалавека ў сярэдзіне. ANSSI сцвярджае, што сертыфікат выкарыстоўваўся толькі ў прыватнай сетцы, каб праслухаць уласных карыстальнікаў сеткі, а не французскім урадам. Нават калі б гэта было праўдай, гэта было б парушэннем уласнай палітыкі ANSSI пры выдачы сертыфікатаў.

google-anssi-rogue-сертыфікат-францыя

Ідэальная сакрэтная наперад не выкарыстоўваецца ўсюды

Шмат сайтаў не выкарыстоўваюць "ідэальную таямніцу наперад", гэта метад, які б палепшыў узрушэнне шыфравання. Без ідэальнай сакрэтнасці наперад зламыснік можа захапіць вялікую колькасць зашыфраваных дадзеных і расшыфраваць усё гэта адным сакрэтным ключом. Мы ведаем, што АНБ і іншыя органы дзяржаўнай бяспекі па ўсім свеце захопліваюць гэтыя дадзеныя. Калі праз год яны выявяць ключ шыфравання, які выкарыстоўваецца на сайце, яны могуць выкарыстоўваць яго для расшыфроўкі ўсіх зашыфраваных дадзеных, якія яны збіралі паміж гэтым сайтам і ўсім, хто да яго падключыўся.

Ідэальная сакрэтнасць наперад дапамагае абараніць ад гэтага, ствараючы унікальны ключ для кожнай сесіі. Іншымі словамі, кожны сеанс зашыфраваны розным сакрэтным ключом, таму нельга разблакаваць іх адным ключом. Гэта не дазваляе камусьці расшыфраваць велізарную колькасць зашыфраваных дадзеных адразу. Паколькі вельмі мала сайтаў выкарыстоўваюць гэтую функцыю бяспекі, больш верагодна, што дзяржаўныя органы бяспекі могуць расшыфраваць усе гэтыя дадзеныя ў будучыні.

Чалавек у атаках і персанажах Unicode

Звязаныя: Чаму выкарыстанне грамадскай сеткі Wi-Fi можа быць небяспечным, нават пры доступе да зашыфраваных сайтаў

На жаль, напады чалавека ў сярэдзіне па-ранейшаму магчымыя з дапамогай SSL. Тэарэтычна павінна быць бяспечным падключэнне да агульнадаступнай сеткі Wi-Fi і доступ да сайта вашага банка. Вы ведаеце, што злучэнне бяспечна, таму што па-над HTTPS, і злучэнне HTTPS таксама дапамагае вам пераканацца, што вы на самой справе падключаны да вашага банка.

На практыцы гэта можа быць небяспечна падлучыцца да вэб-сайта вашага банка ў грамадскай сетцы Wi-Fi. Існуюць нестандартныя рашэнні, якія могуць мець шкоднасную кропку доступу на чалавека, які падключаецца да яго. Напрыклад, кропка доступу Wi-Fi можа падключыцца да банка ад вашага імя, адпраўляючы дадзеныя туды-сюды і размяшчаючыся пасярэдзіне. Гэта можа крадка перанакіраваць вас на старонку HTTP і падключыцца да банка з HTTPS ад вашага імя.

Ён таксама можа выкарыстаць "гамаграфічны адрас HTTPS". Гэта адрас, які выглядае ідэнтычна вашаму банку на экране, але на самой справе выкарыстоўваюцца спецыяльныя сімвалы Unicode, таму ён адрозніваецца. Гэты апошні і найстрашнейшы тып нападу вядомы як інтэрнацыяналізаваная атака дамена імя гомаграфа. Вывучыце набор знакаў Unicode, і вы знойдзеце знакі, якія ў прынцыпе супадаюць з 26 знакамі, якія выкарыстоўваюцца ў лацінскім алфавіце. Магчыма, o на google.com, з якім вы падлучаныя, на самай справе не ёсць, але гэта іншыя знакі.

Мы разгледзелі гэта больш падрабязна, калі мы разгледзелі небяспеку выкарыстання агульнадаступнай пункту доступу Wi-Fi.

idn-homograph-атака

Вядома, HTTPS працуе выдатна ў большасці выпадкаў. Наўрад ці вы сутыкнецеся з такім разумным нападам чалавека, калі вы наведаеце кавярню і падключыцеся да іх Wi-Fi. Сапраўдны сэнс у тым, што HTTPS мае некаторыя сур'ёзныя праблемы. Большасць людзей давярае гэтаму і не ведае пра гэтыя праблемы, але гэта нідзе не ідэальна.

Крэдыт малюнка: Сара Радасць