Hjemmeside » hvordan » 5 alvorlige problemer med HTTPS og SSL-sikkerhet på nettet

    5 alvorlige problemer med HTTPS og SSL-sikkerhet på nettet

    HTTPS, som bruker SSL, gir identitetsbekreftelse og sikkerhet, slik at du vet at du er koblet til riktig nettsted, og ingen kan avlyse på deg. Det er altså teorien. I praksis er SSL på nettet en slags rot.

    Dette betyr ikke at HTTPS- og SSL-kryptering er verdiløs, da de er definitivt mye bedre enn å bruke ukrypterte HTTP-tilkoblinger. Selv i verste fall vil en kompromittert HTTPS-tilkobling bare være så usikker som en HTTP-tilkobling.

    Svært antall sertifikatmyndigheter

    Nettleseren din har en innebygd liste over klarerte sertifikatmyndigheter. Nettlesere stoler bare på sertifikater utstedt av disse sertifikatmyndighetene. Hvis du besøkte https://example.com, vil webserveren på example.com presentere et SSL-sertifikat til deg og nettleseren din vil sjekke for at nettsiden SSL-sertifikat ble utstedt for eksempel.com av en klarert sertifiseringsinstans. Hvis sertifikatet ble utstedt for et annet domene, eller hvis det ikke ble utstedt av en klarert sertifiseringsinstans, ser du en alvorlig advarsel i nettleseren din.

    Et stort problem er at det er så mange sertifikatmyndigheter, så problemer med en sertifikatmyndighet kan påvirke alle. For eksempel kan du få et SSL-sertifikat for domenet ditt fra VeriSign, men noen kan kompromittere eller lure en annen sertifikatautoritet og få et sertifikat for domenet ditt også.

    Sertifikatmyndighetene har ikke alltid inspirert tillit

    Studier har funnet ut at noen sertifiseringsmyndigheter har unnlatt å gjøre selv minimal due diligence når utstedelse av sertifikater. De har utstedt SSL-sertifikater for typer adresser som aldri skal kreve et sertifikat, for eksempel "localhost", som alltid representerer den lokale datamaskinen. I 2011 fant EFF over 2000 sertifikater for "localhost" utstedt av legitime, pålitelige sertifiseringsmyndigheter.

    Hvis pålitelige sertifikatmyndigheter har utstedt så mange sertifikater uten å kontrollere at adressene er like gyldige i utgangspunktet, er det bare naturlig å lure på hvilke andre feil de har gjort. Kanskje de også har utstedt uautoriserte sertifikater for andres nettsteder til angripere.

    Utvidede valideringssertifikater, eller EV-sertifikater, forsøker å løse dette problemet. Vi har dekket problemene med SSL-sertifikater og hvordan EV-sertifikater forsøker å løse dem.

    Sertifikatmyndigheter kan bli tvunget til å utstede falske sertifikater

    Fordi det er så mange sertifiseringsmyndigheter, er de over hele verden, og noen sertifikatmyndighet kan utstede et sertifikat for et hvilket som helst nettsted. Regjeringene kan tvinge sertifikatmyndigheter til å gi dem et SSL-sertifikat for et nettsted de vil etterligne.

    Dette skjedde sannsynligvis nylig i Frankrike, hvor Google oppdaget et skurk sertifikat for google.com hadde blitt utstedt av fransk sertifikatmyndighet ANSSI. Myndigheten ville ha tillatt den franske regjeringen eller den som hadde det til å etterligne Googles nettside, som enkelt utførte man-i-midten-angrep. ANSSI hevdet at sertifikatet bare ble brukt på et privat nettverk for å snike på nettets egne brukere, ikke av den franske regjeringen. Selv om dette var sant, ville det være et brudd på ANSSIs egne retningslinjer ved utstedelse av sertifikater.

    Perfekt fremad hemmelighet brukes ikke overalt

    Mange nettsteder bruker ikke "perfekt fremoverhemmelighet", en teknikk som gjør kryptering vanskeligere å sprekke. Uten perfekt fremoverhemmelighet kan en angriper fange opp en stor mengde krypterte data og dekryptere alt med en enkelt hemmelig nøkkel. Vi vet at NSA og andre statlige sikkerhetsbyråer rundt om i verden er å fange opp disse dataene. Hvis de oppdager krypteringsnøkkelen som brukes av et nettsted år senere, kan de bruke den til å dekryptere alle krypterte dataene de har samlet mellom den nettsiden og alle som er koblet til den.

    Perfekt fremoverhemmelighet bidrar til å beskytte mot dette ved å generere en unik nøkkel for hver økt. Med andre ord krypteres hver økt med en annen hemmelig nøkkel, slik at de ikke alle kan låses opp med en enkelt nøkkel. Dette forhindrer noen fra å dekryptere en stor mengde krypterte data samtidig. Fordi svært få nettsteder bruker denne sikkerhetsfunksjonen, er det mer sannsynlig at statlige sikkerhetsbyråer kunne dekryptere alle disse dataene i fremtiden.

    Mann i midtangrepene og Unicode-tegnene

    Dessverre er man-i-midten-angrep fortsatt mulig med SSL. I teorien bør det være sikkert å koble til et offentlig Wi-Fi-nettverk og få tilgang til bankens nettsted. Du vet at tilkoblingen er sikker fordi den er over HTTPS, og HTTPS-tilkoblingen hjelper deg også med å verifisere at du faktisk er koblet til banken din.

    I praksis kan det være farlig å koble til bankens nettsted på et offentlig Wi-Fi-nettverk. Det finnes hylleløsninger som kan få et ondsinnet hotspot å utføre man-i-midten-angrep på folk som knytter seg til det. For eksempel kan et Wi-Fi-hotspot koble til banken på dine vegne, sende data frem og tilbake og sitte i midten. Det kan smidig omdirigere deg til en HTTP-side og koble til banken med HTTPS på dine vegne.

    Det kan også bruke en "homografisk lignende HTTPS-adresse." Dette er en adresse som ser identisk ut med banken din på skjermen, men som faktisk bruker spesielle Unicode-tegn, slik at det er annerledes. Denne siste og skummeste typen angrep er kjent som et internasjonalisert domeneavnshomograf angrep. Undersøk Unicode tegnsettet, og du vil finne tegn som ser stort sett ut som de 26 tegnene som brukes i det latinske alfabetet. Kanskje er o i google.com du er koblet til, egentlig ikke o, men er andre tegn.

    Vi dekket dette mer detaljert når vi så på farene ved å bruke et offentlig Wi-Fi-hotspot.


    Selvfølgelig fungerer HTTPS bra mesteparten av tiden. Det er lite sannsynlig at du møter et så smart menneske-i-midten-angrep når du besøker en kaffebar og kobler til Wi-Fi. Det virkelige poenget er at HTTPS har noen alvorlige problemer. De fleste stoler på det og er ikke klar over disse problemene, men det er ikke nær perfekt.

    Bildekreditt: Sarah Joy