Ez nem jelenti azt, hogy a HTTPS és az SSL titkosítás értéktelen, mivel határozottan sokkal jobbak, mint a titkosítatlan HTTP-kapcsolatok használata. Még a legrosszabb esetben a kompromittált HTTPS kapcsolat csak annyira bizonytalan, mint egy HTTP kapcsolat.
A tanúsító hatóságok tiszta száma
A böngésző beépített listát tartalmaz a megbízható tanúsító hatóságok számára. A böngészők csak az e tanúsítvány-hatóságok által kiadott tanúsítványokat bízzák meg. Ha meglátogatta a https://example.com weboldalt, akkor a pp.com webes kiszolgáló SSL-tanúsítványt mutat be, és böngészője ellenőrizni fogja, hogy a webhely SSL-tanúsítványa a pelda.com webhelyen egy megbízható tanúsítvány-hatóságon keresztül lett-e kiadva. Ha a tanúsítványt egy másik domainre bocsátották ki, vagy ha nem állította ki egy megbízható tanúsítványt kibocsátó hatóság, komoly figyelmeztetést észlelne a böngészőben.
Az egyik legfontosabb probléma az, hogy sok bizonyítvánnyal rendelkező hatóság van, így az egyik tanúsító hatósággal kapcsolatos problémák mindenkinek hatással lehetnek. Előfordulhat például, hogy a VeriSigntól kaphat SSL-tanúsítványt a domainhez, de valaki veszélyeztetheti vagy megcáfolhat egy másik tanúsítványt, és kaphat egy tanúsítványt a domainhez.
A tanúsító hatóságok nem mindig inspirálták a bizalmat
Tanulmányok kimutatták, hogy egyes tanúsító hatóságok nem tettek még minimális átvilágítást a tanúsítvány kiadásakor. SSL tanúsítványokat bocsátottak ki olyan címtípusokra, amelyek soha nem igényelnek olyan tanúsítványt, mint a "localhost", amely mindig a helyi számítógépet képviseli. 2011-ben az EFF több mint 2000 tanúsítványt talált a "localhost" számára, amelyet törvényes, megbízható tanúsító hatóságok bocsátottak ki.
Ha a megbízható tanúsító hatóságok olyan sok igazolást bocsátottak ki anélkül, hogy meggyőződtek arról, hogy a címek valaha is érvényesek, akkor csak természetes, hogy elgondolják, milyen más hibákat követtek el. Talán jogosulatlan bizonyítványt bocsátottak a mások weboldalaihoz a támadók ellen.
A kiterjesztett érvényesítési tanúsítványok vagy az EV tanúsítványok megpróbálják megoldani ezt a problémát. Az SSL-tanúsítványokkal kapcsolatos problémákat fedeztük fel, és az EV tanúsítványok hogyan próbálják megoldani őket.
A tanúsítványt kiadó hatóságok kötelesek hamis bizonyítványokat kiadni
Mivel számos tanúsítványt nyújtó hatóság van, ezek a világ minden tájáról származnak, és bármely tanúsítványt kiadó tanúsítványt adhat ki bármely webhelyhez, a kormányok arra kényszeríthetik a tanúsító hatóságokat, hogy SSL-tanúsítványt bocsássanak ki egy olyan webhelyre, amelyet személyre szólítani kívánnak.
Ez valószínűleg a közelmúltban történt Franciaországban, ahol a Google felfedezett egy gazember bizonyítványt a google.com számára a francia ANSSI tanúsító hatóság által. A hatóság megengedte volna a francia kormánynak, vagy bárki másnak, hogy megszemélyesítse a Google weboldalát, és könnyedén elvégezhesse a "man-in-the-middle" támadásokat. Az ANSSI azt állította, hogy a tanúsítványt csak egy magánhálózaton használták fel a hálózat saját felhasználói, és nem a francia kormány. Még ha ez is igaz lenne, akkor a tanúsítványok kibocsátása esetén megsértené az ANSSI saját politikáját.
A tökéletes távoli titoktartást nem mindenhol használják
Sok webhely nem használja a "tökéletes előretekintést", olyan technikát, amely megnehezíti a titkosítást. A tökéletes titoktartás nélkül a támadó nagy mennyiségű titkosított adatot foghatott le, és egyetlen titkos kulcsmal visszafejtheti. Tudjuk, hogy az NSA és a világ más állami biztonsági ügynökségei rögzítik ezeket az adatokat. Ha felfedezik a webhely által használt titkosítási kulcsot évekkel később, használhatják azt, hogy visszafejtsék az összes olyan titkosított adatot, amelyet összegyűjtöttek az adott webhely és a hozzá kapcsolódó személyek között.
A tökéletes titoktartás segít megvédeni ezzel azáltal, hogy minden egyes munkamenethez egyedi kulcsot generál. Más szavakkal, minden egyes munkamenet más titkos kulcsmal van titkosítva, így egyetlen kulcs nélkül nem szabad mindegyiket megnyitni. Ez megakadályozza, hogy valaki egyszerre titkosítsa a titkosított adatokat. Mivel nagyon kevés weboldal használja ezt a biztonsági szolgáltatást, valószínűbb, hogy az állami biztonsági szervek a jövőben visszafejthetik ezeket az adatokat.
Az ember a középső támadásokban és a Unicode karakterekben
Sajnos az SSL-vel továbbra is lehetséges a "man-in-the-middle" támadások. Elméletileg biztonságosnak kell lennie a nyilvános Wi-Fi hálózathoz való csatlakozáshoz és a bank webhelyének eléréséhez. Tudja, hogy a kapcsolat biztonságos, mert túl van HTTPS protokollal, és a HTTPS-kapcsolat is segít annak ellenőrzésében, hogy ténylegesen csatlakozott-e a bankjához.
A gyakorlatban veszélyes lehet a bank webhelyének nyilvános Wi-Fi hálózaton való összekapcsolása. Vannak off-the-shelf megoldások, amelyeknek rosszindulatú hotspotja lehet az emberekkel szembeni támadások végrehajtása azok számára, akik csatlakoznak hozzá. Például egy Wi-Fi hotspot csatlakozhat a bankhoz az Ön nevében, adatokat küldhet oda és vissza, és középen ül. Lehet, hogy titokban átirányítja Önt egy HTTP oldalra, és csatlakozik a bankhoz HTTPS-nál az Ön nevében.
Használhat egy "homográf-hasonló HTTPS-címet" is. Ez olyan cím, amely azonos a bankjának a képernyőjén, de amely valójában különleges Unicode karaktereket használ, így más. Ez a legutóbbi és legveszedelmesebb támadás a nemzetközileg ismert domain név homográfus támadásának. Vizsgálja meg a Unicode karakterkészletet, és olyan karaktereket talál, amelyek alapvetően megegyeznek a latin betűkkel használt 26 karakterrel. Talán az o a google.com-ban, amelyhez kapcsolódtál, valójában nem o, hanem más karakterek.
Ezt részletesebben áttekintettük, amikor megvizsgáltuk a nyilvános Wi-Fi hotspot használatának veszélyeit.
Természetesen a HTTPS jól működik az idő nagy részében. Nem valószínű, hogy ilyen okos, ember-in-the-middle támadást fogsz tapasztalni, amikor kávézóba látogatsz, és csatlakozol a Wi-Fi hálózathoz. Az igazi pont az, hogy a HTTPS-nek komoly problémái vannak. A legtöbb ember bízik benne, és nem ismeri ezeket a problémákat, de ez egyáltalán nem tökéletes.
