5 alvorlige problemer med HTTPS og SSL-sikkerhed på internettet
HTTPS, der bruger SSL, giver identitetsbekræftelse og sikkerhed, så du ved, at du er forbundet til den rigtige hjemmeside, og ingen kan aflytte dig. Det er alligevel teorien. I praksis er SSL på nettet en slags rod.
Dette betyder ikke, at HTTPS- og SSL-kryptering er værdiløs, da de absolut er meget bedre end at bruge ukrypterede HTTP-forbindelser. Selv i værste fald vil en kompromitteret HTTPS-forbindelse kun være så usikker som en HTTP-forbindelse.
The Sheer Number Certificate Authorities
Din browser har en indbygget liste over betroede certifikatmyndigheder. Browsere tillader kun certifikater udstedt af disse certifikatmyndigheder. Hvis du besøgte https://example.com, ville webserveren på example.com præsentere et SSL-certifikat til dig, og din browser ville kontrollere, at webstedets SSL-certifikat blev udstedt til eksempel.com af en betroet certifikatmyndighed. Hvis certifikatet blev udstedt til et andet domæne, eller hvis det ikke blev udstedt af en betroet certifikatmyndighed, vil du se en alvorlig advarsel i din browser.
Et stort problem er, at der er så mange certifikatmyndigheder, så problemer med en certifikatmyndighed kan påvirke alle. For eksempel kan du få et SSL-certifikat for dit domæne fra VeriSign, men nogen kan kompromittere eller narre en anden certifikatmyndighed og få et certifikat for dit domæne også.
Certificeringsmyndigheder har ikke altid inspireret tillid
Undersøgelser har vist, at nogle certificeringsmyndigheder har undladt at gøre selv minimal due diligence ved udstedelse af certifikater. De har udstedt SSL-certifikater for typer af adresser, der aldrig skal kræve et certifikat, som f.eks. "Localhost", som altid repræsenterer den lokale computer. I 2011 fandt EFF over 2000 certifikater for "localhost" udstedt af legitime, tillid til certificerede myndigheder.
Hvis betroede certifikatmyndigheder har udstedt så mange certifikater uden at kontrollere, at adresserne er ens gyldige i første omgang, er det kun naturligt at undre sig over, hvilke andre fejl de har lavet. Måske har de også udstedt uautoriserede certifikater til andres hjemmesider til angriberne.
Udvidede valideringscertifikater eller EV-certifikater forsøger at løse dette problem. Vi har dækket problemerne med SSL-certifikater og hvordan EV-certifikater forsøger at løse dem.
Certifikatmyndighederne kunne blive tvunget til at udstede falske certifikater
Fordi der er så mange certifikatmyndigheder, er de over hele verden, og enhver certificeringsmyndighed kan udstede et certifikat for ethvert websted, regeringer kunne tvinge certifikatmyndigheder til at udstede dem et SSL-certifikat for et websted, de vil udgive.
Dette er sandsynligvis sket for nylig i Frankrig, hvor Google opdagede et rogue certifikat for google.com blevet udstedt af den franske certifikatmyndighed ANSSI. Myndigheden ville have tilladt den franske regering eller den anden, der havde det, at efterligne Googles hjemmeside, der nemt kunne udføre man-i-midterangreb. ANSSI hævdede att certifikatet kun blev brugt på et privat netværk for at snoop på netværks egne brugere, ikke af den franske regering. Selv om dette var sandt, ville det være en overtrædelse af ANSSIs egne politikker ved udstedelse af certifikater.
Perfect Forward Secrecy bruges ikke overalt
Mange steder bruger ikke "perfekt fremad hemmeligholdelse", en teknik, der ville gøre kryptering vanskeligere at knække. Uden perfekt fremadgående hemmeligholdelse kan en angriber fange en stor mængde krypterede data og dekryptere det hele med en enkelt hemmelig nøgle. Vi ved, at NSA og andre statslige sikkerhedsagenturer over hele verden er ved at fange disse data. Hvis de opdager krypteringsnøglen, der bruges af et websted år senere, kan de bruge den til at dekryptere alle de krypterede data, de har indsamlet mellem den pågældende hjemmeside og alle, der har forbindelse til det.
Perfekt fremadrettede hemmeligheder hjælper med at beskytte mod denne ved at generere en unik nøgle til hver session. Med andre ord krypteres hver session med en anden hemmelig nøgle, så de kan ikke alle låses op med en enkelt nøgle. Dette forhindrer nogen i at dekryptere en enorm mængde krypterede data på én gang. Da meget få hjemmesider bruger denne sikkerhedsfunktion, er det mere sandsynligt, at de statslige sikkerhedsagenturer kunne dekryptere alle disse data i fremtiden.
Menneske i Middle Attacks og Unicode Characters
Desværre er man-i-midterangreb stadig muligt med SSL. I teorien bør det være sikkert at oprette forbindelse til et offentligt Wi-Fi-netværk og få adgang til din banks websted. Du ved, at forbindelsen er sikker, fordi den er over HTTPS, og HTTPS-forbindelsen hjælper dig også med at bekræfte, at du rent faktisk er forbundet med din bank.
I praksis kan det være farligt at oprette forbindelse til din banks hjemmeside på et offentligt Wi-Fi-netværk. Der er løsninger uden for hylderne, der kan få et ondsindet hotspot til at udføre man-in-the-middle angreb på mennesker, der forbinder det. For eksempel kan et Wi-Fi-hotspot oprette forbindelse til banken på dine vegne, sende data frem og tilbage og sidde i midten. Det kan smidigt omdirigere dig til en HTTP-side og oprette forbindelse til banken med HTTPS på dine vegne.
Det kan også bruge en "homografisk lignende HTTPS-adresse." Dette er en adresse, der ligner din bank på skærmen, men som faktisk bruger særlige Unicode-tegn, så det er anderledes. Denne sidste og skæmmeste type angreb er kendt som et internationaliseret domænenavnshomografiangreb. Undersøg Unicode tegnsættet, og du vil finde tegn, der stort set er identiske med de 26 tegn, der bruges i det latinske alfabet. Måske er o'erne i google.com, du er forbundet med, faktisk ikke o, men er andre tegn.
Vi dækkede dette mere detaljeret, da vi så på farerne ved at bruge et offentligt Wi-Fi-hotspot.
Selvfølgelig fungerer HTTPS fint det meste af tiden. Det er usandsynligt, at du vil støde på et så smart menneske-i-midten-angreb, når du besøger en kaffebar og opretter forbindelse til deres Wi-Fi. Det virkelige punkt er, at HTTPS har nogle alvorlige problemer. De fleste mennesker stoler på det og er ikke opmærksomme på disse problemer, men det er ingen steder nær perfekt.
Billedkredit: Sarah Joy