Tas nenozīmē, ka HTTPS un SSL šifrēšana ir bezvērtīga, jo tie noteikti ir daudz labāki nekā nešifrētu HTTP savienojumu izmantošana. Pat sliktākajā gadījumā kompromitēts HTTPS savienojums būs tikpat nedrošs kā HTTP savienojums.
Lielākais sertifikātu iestāžu skaits
Jūsu pārlūkprogrammai ir iebūvēts uzticamu sertifikātu iestāžu saraksts. Pārlūkprogrammas uzticas tikai sertifikātiem, kurus izdevušas šīs sertifikātu iestādes. Ja apmeklējāt https://example.com, tīmekļa serveris example.com iesniegs jums SSL sertifikātu un jūsu pārlūkprogramma pārbaudīs, vai uzticama sertifikātu iestāde ir izsniegusi vietnes SSL sertifikātu example.com. Ja sertifikāts ir izsniegts citam domēnam vai ja to nav izdevusi uzticama sertifikāta iestāde, pārlūkā redzēsiet nopietnu brīdinājumu.
Viena no galvenajām problēmām ir tā, ka ir tik daudz sertifikātu iestāžu, tāpēc problēmas ar vienu sertifikātu iestādi var ietekmēt ikvienu. Piemēram, jūs varat saņemt SSL sertifikātu savam domēnam no VeriSign, bet kāds varētu kompromitēt vai sagrābt citu sertifikātu iestādi un iegūt sertifikātu arī jūsu domēnam.
Sertifikātu iestādes nav vienmēr iedvesmojušas uzticību
Pētījumos atklāts, ka dažas sertifikātu iestādes, izdodot sertifikātus, nav veikušas pat minimālu pienācīgu rūpību. Viņi ir izsnieguši SSL sertifikātus tādu adreses veidiem, kuriem nekad nevajadzētu pieprasīt sertifikātu, piemēram, "localhost", kas vienmēr ir vietējais dators. 2011. gadā EZF atrada vairāk nekā 2000 sertifikātus vietējam serverim, ko izdevušas likumīgas uzticamas sertifikātu iestādes.
Ja uzticamās sertifikātu iestādes ir izsniegušas tik daudz sertifikātu, nepārbaudot, ka adreses ir pat derīgas vispirms, ir tikai dabiski uzzināt, kuras citas kļūdas viņi ir izdarījušas. Iespējams, ka viņi ir uzbrucējus arī izdevus nesankcionētus sertifikātus citu cilvēku vietnēm.
Extended Validation sertifikāti vai EV sertifikāti mēģina atrisināt šo problēmu. Mēs esam apskatījuši problēmas ar SSL sertifikātiem un to, kā EV sertifikāti mēģina tos novērst.
Sertifikātu iestādes varētu piespiest izdot viltotus sertifikātus
Tā kā sertifikātu iestādes ir tik daudz, tās visas atrodas visā pasaulē, un jebkura sertifikātu iestāde var izsniegt sertifikātu jebkurai vietnei, valdības var piespiest sertifikātu iestādes izsniegt tām SSL sertifikātu vietnei, kuru tās vēlas uzdoties.
Tas, iespējams, nesen parādījās Francijā, kur Google atklāja negodīgu sertifikātu google.com, kuru izdevusi Francijas sertifikātu iestāde ANSSI. Iestāde būtu ļāvusi Francijas valdībai vai jebkuram citam to uzdoties par Google tīmekļa vietni, viegli izpildot vīriešu vidū uzbrukumus. ANSSI apgalvoja, ka sertifikāts tika izmantots tikai privātajā tīklā, lai uzraudzītu tīkla lietotājus, nevis Francijas valdību. Pat ja tas būtu taisnība, izsniedzot sertifikātus, tas būtu ANSSI pašu politikas pārkāpums.
Perfect Forward noslēpums netiek izmantots visur
Daudzās vietnēs neizmanto "perfektu noslēpumu uz priekšu" - tādu paņēmienu, kas padarītu šifrēšanu sarežģītāk. Bez perfekta nospieduma uz priekšu uzbrucējs varētu uzņemt lielu šifrētu datu daudzumu un atšifrēt visu ar vienu slepeno atslēgu. Mēs zinām, ka NSA un citas valsts drošības aģentūras visā pasaulē apkopo šos datus. Ja viņi atklāj tīmekļa vietnē izmantotās šifrēšanas atslēgas gadu vēlāk, viņi to var izmantot, lai atšifrētu visus šifrētos datus, ko viņi ir savākuši starp šo vietni un visiem, kas ar to ir saistīti.
Ideāla nospiedumu noslēpums palīdz aizsargāt pret to, radot unikālu atslēgu katrai sesijai. Citiem vārdiem sakot, katra sesija tiek šifrēta ar citu slepeno atslēgu, tāpēc tos visus nevar atslēgt ar vienu taustiņu. Tas neļauj kādam nošifrēt lielu daudzumu šifrētu datu vienlaicīgi. Tā kā ļoti maz vietņu izmanto šo drošības funkciju, visticamāk, ka valsts drošības aģentūras nākotnē varētu atšifrēt visus šos datus.
Cilvēks ar vidējiem uzbrukumiem un unikoda rakstzīmēm
Diemžēl ar SSL joprojām ir iespējami vīrusu uzbrukumi. Teorētiski būtu droši izveidot savienojumu ar publisko Wi-Fi tīklu un piekļūt jūsu bankas vietnei. Jūs zināt, ka savienojums ir drošs, jo tas pārsniedz HTTPS, un HTTPS savienojums arī palīdz jums pārbaudīt, vai faktiski ir izveidots savienojums ar jūsu banku.
Praksē publiskā Wi-Fi tīklā var būt bīstami pieslēgties jūsu bankas vietnei. Pastāv risinājumi bez risinājumiem, kuros var būt ļaunprātīga vietne, kurā tiek veikta man-in-the-centra uzbrukums tiem lietotājiem, kas ar to pieslēdzas. Piemēram, Wi-Fi vietrādis punkts var izveidot savienojumu ar banku jūsu vārdā, nosūtot datus uz priekšu un atpakaļ un sēžot vidū. Tas varētu sneakily novirzīt jūs uz HTTP lapu un izveidot savienojumu ar banku ar HTTPS jūsu vārdā.
Tas varētu arī izmantot "līdzīgu homogrāfijas HTTPS adresi". Šī ir adrese, kas ekrānā izskatās identiska jūsu bankai, bet kas faktiski izmanto īpašas Unikoda rakstzīmes, tāpēc tā ir citāda. Šis pēdējais un vissliktākais veida uzbrukums ir pazīstams kā internacionalizēts domēna vārda homogrāfs uzbrukums. Pārbaudiet Unicode rakstzīmju kopu, un jūs atradīsit rakstzīmes, kas būtībā ir identiskas ar 26 rakstzīmēm, kuras tiek lietotas latīņu alfabētā. Iespējams, o vietnē google.com, kurā esat izveidots savienojums, faktiski nav o, bet ir citas rakstzīmes.
Mēs to sīkāk aplūkojām, kad mēs aplūkojām draudus izmantot publisko Wi-Fi tīklāju.
Protams, lielāko daļu laika HTTPS darbojas labi. Maz ticams, ka jūs saskarsieties ar tik gudru cilvēka-in-the-vidējā uzbrukumu, kad apmeklējat kafijas veikalu un izveidojat savienojumu ar Wi-Fi tīklu. Patiesībā HTTPS ir nopietnas problēmas. Lielākā daļa cilvēku to uzticas un nezina šīs problēmas, taču tas nav gandrīz perfekts.
