HTTPS és SSL azok a protokollok, amelyeket a web biztonságának biztosításához használnak. Valójában a HTTPS SSL-t használ a dolgok elvégzéséhez. Az ezekkel a protokollokkal kapcsolatos teljes elképzelés annak biztosítása, hogy senki ne essen le az interneten keresztül közlekedő fontos adatokról. Azonban a dolgok nem úgy tűnnek, mert valójában az SSL zavaros.
Ne csavarja meg, mert ez nem jelenti azt, hogy az SSL és a HTTPS titkosítások használhatatlanok az interneten. Nekik van a problémájuk, de mindkettő sokkal jobb, mint a HTTP minden lehetséges módon.
HTTPS és SSL problémák
Az ember a középső támadásokban
Néhány furcsa ok miatt az ember a középső támadásokban továbbra is lehetséges SSL-vel. A koncepció egyszerű; a felhasználóknak képesnek kell lenniük kapcsolódni bankjuk weboldalán a nyilvános Wi-Fi hálózaton keresztül, mert a kapcsolat biztonsága, a támadóknak nem kell megtalálniuk az eszközöket.
Az űrlapon keresztül végrehajtott támadás átirányíthatja a felhasználót olyan HTTP-webhelyre, amely hasonlít a biztonságos rendszerhez, és onnan a támadók rendelkeznek terminálokkal, amelyek reménykednek abban, hogy értékes információkat lopnak.
Túl sok tanúsító hatóság
A webböngészőnek tartalmaz egy listát a beépített igazoló hatóságokra. Minden web böngésző csak a beépítettek által kiadott tanúsítványokat bízza meg. Ha a felhasználók az SSL használatával biztosított webhelyet látogatják meg, tanúsítványt ad ki, és a webböngésző ellenőrizni fogja, hogy a weboldal meggyőződik-e arról, hogy a tanúsítványt az adott oldalról érkezett.
Itt van a dolog, mert olyan sok bizonyítvánnyal rendelkező hatóság van, az egyetlen bizonyítvánnyal kapcsolatos problémák hatással lehetnek mindenkinek. Ez soha nem jó, és eddig nem sok webmester tehet vele.
A hamis bizonyítványokat kiállító igazoló hatóságok
Hihetetlenül hamis tanúsítványok vannak ott, és problémákat okoznak a webfelhasználók számára. És még a Google és más cégek is elájultak a múltban.
A kormány vagy mások képesek voltak arra, hogy ezt a gazember bizonyítványt használják a hivatalos Google-oldal megszemélyesítéséhez, ami lehetővé tenné egy embernek a Közel-támadásban való végrehajtását. Ellenben az ANSSI azt állította, hogy a tanúsítványt arra kérték fel, hogy kémkedjen a saját használóitól, és mint ilyen, a francia kormánynak nem volt hozzáférése hozzá.
Bizonyos bizonyítványok soha nem sikerültek
A múltban elvégzett tanulmányok szerint egyes tanúsító hatóságok sikertelenek a tanúsítványok kiadásakor. Ez azt jelenti, hogy egyes webhelyek esetleg nem igényelnek igazolást, de a hatóság egyébként is gondoskodik róla. Ha ezt rendszeresen végezzük, akkor csak azt tudjuk képzelni, hogy más hibák történtek és még mindig készülnek.
