5 ernstige problemen met https en ssl veiligheid op het web

HTTPS, die SSL gebruikt, biedt identiteitscontrole en veiligheid, zodat je weet dat je contact hebt met de juiste website en niemand kan afluisteren op je. Dat is de theorie, hoe dan ook. In de praktijk SSL op het web is een soort van een puinhoop.

Dit betekent niet dat HTTPS en SSL-encryptie zijn waardeloos, omdat ze zeker veel beter dan het gebruik van niet-gecodeerde HTTP-verbindingen. Zelfs in een worst case scenario, zal een gecompromitteerde HTTPS-verbinding alleen zo onveilig als een HTTP-verbinding.

Uw browser heeft een ingebouwde lijst met vertrouwde certificeringsinstanties. Browsers alleen het vertrouwen certificaten die door deze certificate authorities. Als je https://example.com bezocht, zou de webserver bij example.com een ​​SSL certificaat om u en uw browser zou controleren om ervoor te zorgen dat SSL-certificaat van de website werd example.com uitgegeven door een vertrouwde certificeringsinstantie. Als het certificaat is afgegeven voor een ander domein of als het niet is uitgegeven door een vertrouwde certificeringsinstantie, zou je een ernstige waarschuwing te zien in uw browser.

Een groot probleem is dat er zo veel certificaat autoriteiten, zodat problemen met één certificeringsinstantie iedereen kan beïnvloeden. Bijvoorbeeld, zou u een SSL-certificaat voor uw domein van VeriSign, maar iemand die in gevaar kunnen brengen of truc een andere certificeringsinstantie en krijgen een certificaat voor uw domein, ook.

Studies hebben aangetoond dat een aantal certificate authorities er niet in geslaagd om zelfs minimale due diligence bij de afgifte van certificaten. Ze hebben SSL-certificaten voor types van adressen die nooit een certificaat moet vereisen, zoals “localhost”, die altijd staat voor de lokale computer uitgegeven. In 2011, het EVF vonden meer dan 2000 certificaten voor “localhost” uitgegeven door legitieme, vertrouwde certificeringsinstanties.

Als vertrouwd certificaat autoriteiten zo veel certificaten zijn uitgegeven zonder te verifiëren dat de adressen zijn ook geldig in de eerste plaats, het is alleen maar natuurlijk af te vragen wat andere fouten die ze hebben gemaakt. Misschien hebben ze ook uitgegeven ongeautoriseerde certificaten voor websites van andere mensen om aanvallers.

Extended Validation certificaten, of EV-certificaten, proberen om dit probleem op te lossen. We hebben de problemen met de SSL-certificaten bedekt en hoe EV-certificaten proberen om ze op te lossen.

Omdat er zo veel certificate authorities, ze zijn allemaal over de hele wereld, en de eventuele certificeringsinstantie kan een certificaat voor elke website te geven, overheden kon certificate authorities dwingen om hen te geven een SSL-certificaat voor een site die ze willen imiteren.

Dit waarschijnlijk onlangs gebeurde in Frankrijk, waar Google ontdekte een schurkenstaat certificaat voor google.com was afgegeven door de Franse certificeringsinstantie ANSSI. De autoriteit zou de Franse regering hebben gesteld of wie anders had om Google’s website imiteren, gemakkelijk het uitvoeren van man-in-the-middle-aanvallen. ANSSI beweerde het certificaat werd alleen gebruikt op een prive-netwerk om snoop op de eigen gebruikers van het netwerk, niet door de Franse regering. Zelfs als dit waar zou zijn, zou het een schending van het eigen beleid ANSSI’s zijn bij de afgifte van certificaten.

Veel sites maken geen gebruik van “Perfect Forward Secrecy ‘, een techniek die encryptie moeilijker te kraken zou maken. Zonder Perfect Forward Secrecy, kan een aanvaller een grote hoeveelheid versleutelde data vast te leggen en te decoderen het allemaal met een enkele geheime sleutel. We weten dat de NSA en andere state veiligheidsdiensten over de hele wereld zijn het vastleggen van deze gegevens. Als ze ontdekken de encryptiesleutel gebruikt door een website jaar later, kunnen ze het gebruiken om alle versleutelde gegevens die ze hebben verzameld tussen deze website en iedereen die verbonden is om het te ontcijferen.

Perfect Forward Secrecy helpt beschermen tegen dit door het genereren van een unieke sleutel voor elke sessie. Met andere woorden, wordt elke sessie gecodeerd met een andere geheime sleutel, zodat ze niet allemaal worden ontgrendeld met een enkele toets. Dit voorkomt dat iemand uit het decoderen van een enorme hoeveelheid versleutelde gegevens allemaal tegelijk. Omdat maar weinig websites maken gebruik van deze beveiligingsfunctie, is het waarschijnlijker dat de staatsveiligheid bureaus al deze gegevens in de toekomst zou kunnen decoderen.

Helaas, man-in-the-middle-aanvallen zijn nog steeds mogelijk met SSL. In theorie zou het veilig om aan te sluiten op een openbare Wi-Fi-netwerk en toegang tot de site van uw bank. U weet dat de verbinding beveiligd is, want het is via HTTPS, en de HTTPS-verbinding helpt u ook controleren of u daadwerkelijk zijn aangesloten op uw bank.

In de praktijk kan het gevaarlijk om aan te sluiten op de website van uw bank op een openbare Wi-Fi-netwerk. Er zijn off-the-shelf oplossingen die kunnen een schadelijke hotspot uitvoeren man-in-the-middle-aanvallen op mensen die verbinding te maken. Bijvoorbeeld, een Wi-Fi-hotspot te sluiten op de bank namens u, het verzenden van gegevens heen en weer en zitten in het midden. Het zou je stiekem omleiden naar een HTTP-pagina en maak verbinding met de bank met HTTPS op uw rekening.

Het kan ook een “homograaf-soortgelijke HTTPS-adres.” Gebruiken Dit is een adres dat identiek is aan uw bank op het scherm ziet, maar die in feite maakt gebruik van speciale Unicode-tekens, dus het is anders. Deze laatste en meest angstaanjagende type aanval staat bekend als een Internationalized Domain Name homograaf aanval. Onderzoek de Unicode-tekenset en je personages die in principe identiek is aan de 26 tekens die in het Latijnse alfabet te kijken te vinden. Misschien is de o’s in de google.com je contact hebt met zijn niet echt o’s, maar zijn andere personages.

Wij vallen dit in meer detail toen we gekeken naar de gevaren van het gebruik van een openbare Wi-Fi-hotspot.

Natuurlijk HTTPS werkt goed meestal. Het is onwaarschijnlijk dat je zo’n slimme man-in-the-middle-aanval zult tegenkomen bij een bezoek aan een coffeeshop en verbinding maken met hun Wi-Fi. Het echte punt is dat HTTPS heeft een aantal ernstige problemen. De meeste mensen vertrouwt en zich niet bewust zijn van deze problemen, maar het is bij lange na niet perfect.

Het Krediet: Sarah Joy

De vroegste commerciële floppy disk had een magnetische film binnen dat was maar liefst acht centimeter in diameter, maar kon alleen maar op te slaan ongeveer 1 megabyte.