HTTPS, המשתמשת ב- SSL , מספק אימות זהות ואבטחה, כך שתדע שאתה מחובר לאתר הנכון ואף אחד לא יכול להאזין לך. זו התיאוריה, בכל מקרה. בפועל, SSL באינטרנט הוא סוג של בלגן.
זה לא אומר שההצפנה של HTTPS ו- SSL אינם שווים, מכיוון שהם בהחלט טובים בהרבה משימוש בחיבורי HTTP לא מוצפנים. גם בתרחיש הגרוע ביותר, חיבור HTTPS שנפרץ יהיה חסר ביטחון בלבד כמו חיבור HTTP.
מספרם העצום של רשויות האישור
קָשׁוּר: מה זה HTTPS, ולמה אכפת לי?
בדפדפן שלך יש רשימה מובנית של רשויות אישורים מהימנות. הדפדפנים סומכים רק על אישורים שהונפקו על ידי רשויות האישורים הללו. אם ביקרת בכתובת https://example.com, שרת האינטרנט ב- example.com יציג בפניך אישור SSL והדפדפן שלך יוודא כי אישור ה- SSL של האתר הונפק למשל.com על ידי רשות אישורים מהימנה. אם האישור הונפק עבור דומיין אחר או אם הוא לא הונפק על ידי רשות אישורים מהימנה, תראה אזהרה רצינית בדפדפן שלך.
בעיה אחת עיקרית היא שיש כל כך הרבה רשויות אישורים, ולכן בעיות ברשות אישורים אחת יכולות להשפיע על כולם. לדוגמה, ייתכן שתקבל אישור SSL לדומיין שלך מ- VeriSign, אך מישהו יכול להתפשר או להערים על רשות אישורים אחרת ולקבל אישור גם עבור הדומיין שלך.
רשויות התעודה לא עוררו תמיד אמון
קָשׁוּר: כיצד דפדפנים מאמתים את זהות האתרים ומגנים מפני מתחזים
מחקרים מצאו כי כמה רשויות אישורים לא הצליחו לבצע בדיקת נאותות מינימלית אפילו בעת הנפקת אישורים. הם הוציאו אישורי SSL עבור סוגי כתובות שלעולם לא ידרשו אישור, כגון "localhost", המייצג תמיד את המחשב המקומי. בשנת 2011, EFF מצאתי מעל 2000 אישורים עבור "localhost" שהונפקו על ידי רשויות אישורים חוקיות ואמינות.
אם רשויות אישורים מהימנות הוציאו כל כך הרבה אישורים מבלי לוודא שהכתובות בכלל תקפות מלכתחילה, זה רק טבעי לתהות אילו טעויות אחרות הם עשו. אולי הם גם הוציאו אישורים לא מורשים לאתרים של אנשים אחרים לתוקפים.
אישורי אימות מורחב, או אישורי EV, מנסים לפתור בעיה זו. כיסינו הבעיות באישורי SSL וכיצד אישורי EV מנסים לפתור אותן .
רשויות האישורים עלולות להיאלץ להנפיק אישורים מזויפים
מכיוון שיש כל כך הרבה רשויות אישורים, הן בכל רחבי העולם, וכל רשות אישורים יכולה להנפיק תעודה לכל אתר, ממשלות יכולות לחייב את רשויות האישורים להנפיק להן תעודת SSL עבור אתר שהן רוצות להתחזות לו.
זה כנראה קרה לאחרונה בצרפת, שם גוגל גילתה תעודת נוכלים עבור google.com הונפקה על ידי רשות האישורים הצרפתית ANSSI. הרשות הייתה מאפשרת לממשלת צרפת או לכל מי שהיה לה להתחזות לאתר של גוגל, ולבצע בקלות התקפות איש-באמצע. ANSSI טענה כי האישור שימש רק ברשת פרטית בכדי לחטט על המשתמשים ברשת עצמה, ולא על ידי ממשלת צרפת. גם אם זה היה נכון, זו תהיה הפרה של המדיניות של ANSSI עצמה בעת הנפקת תעודות.
סודיות קדימה מושלמת לא משמשת בכל מקום
אתרים רבים לא משתמשים ב"סודיות קדימה מושלמת ", טכניקה שתקשה על הצפנה לפיצוח. ללא סודיות קדימה מושלמת, תוקף יכול ללכוד כמות גדולה של נתונים מוצפנים ולפענח את הכל בעזרת מפתח סודי אחד. אנו יודעים כי ה- NSA וסוכנויות אבטחה ממלכתיות אחרות ברחבי העולם לוכדות את הנתונים הללו. אם הם מגלים את מפתח ההצפנה שמשמש אתר מאוחר יותר שנים, הם יכולים להשתמש בו כדי לפענח את כל הנתונים המוצפנים שאספו בין אתר זה לבין כל מי שמחובר אליו.
סודיות מושלמת קדימה מסייעת בהגנה מפני כך על ידי יצירת מפתח ייחודי לכל מפגש. במילים אחרות, כל הפעלה מוצפנת עם מפתח סודי אחר, כך שלא ניתן לפתוח את כולם באמצעות מפתח אחד. זה מונע ממישהו לפענח כמות עצומה של נתונים מוצפנים בבת אחת. מכיוון שמעט מאוד אתרים משתמשים בתכונת אבטחה זו, סביר יותר כי סוכנויות האבטחה של המדינה יוכלו לפענח את כל הנתונים הללו בעתיד.
איש בתוקפים האמצעיים ודמויות יוניקוד
קָשׁוּר: מדוע שימוש ברשת Wi-Fi ציבורית יכול להיות מסוכן, אפילו כשניגשים לאתרים מוצפנים
למרבה הצער, התקפות איש-באמצע עדיין אפשריות באמצעות SSL. בתיאוריה, זה אמור להיות בטוח להתחבר לרשת Wi-Fi ציבורית ולגשת לאתר הבנק שלך. אתה יודע שהחיבור מאובטח מכיוון שמדובר ב- HTTPS, וחיבור HTTPS גם עוזר לך לוודא שאתה מחובר למעשה לבנק שלך.
בפועל, זה יכול להיות מסוכן להתחבר לאתר הבנק שלך ברשת Wi-Fi ציבורית. ישנם פתרונות מדף שעלולים לגרום לנקודה חמה זדונית לבצע התקפות אדם באמצע על אנשים שמתחברים אליו. לדוגמה, נקודה חמה של Wi-Fi עשויה להתחבר לבנק בשמך, לשלוח נתונים הלוך ושוב ויושבת באמצע. זה יכול להפנות אותך בצורה חמוקה לדף HTTP ולהתחבר לבנק באמצעות HTTPS בשמך.
זה יכול גם להשתמש ב"כתובת HTTPS הדומה להומוגרפיה ". זוהי כתובת שנראית זהה לזו של הבנק שלך על המסך, אך למעשה משתמשת בתווי Unicode מיוחדים כך שהיא שונה. סוג התקפה אחרון ומפחיד זה ידוע כמתקפת הומוגרפיה של שם תחום בינלאומי. בחן את ערכת התווים של Unicode ותמצא תווים שנראים זהים בעצם ל 26 התווים המשמשים באלפבית הלטיני. אולי ה- o ב- google.com שאליו אתה מחובר הם לא ממש o, אלא הם תווים אחרים.
סקרנו זאת בפירוט רב יותר כאשר הסתכלנו הסכנות שבשימוש בנקודה חמה ציבורית .
כמובן, HTTPS עובד בסדר לרוב. לא סביר שתיתקל בהתקפה כל כך חכמה של איש באמצע כשתבקר בבית קפה ותתחבר לאינטרנט האלחוטי שלהם. הנקודה האמיתית היא של- HTTPS יש כמה בעיות רציניות. רוב האנשים סומכים על זה ולא מודעים לבעיות האלה, אבל זה כמעט לא מושלם.
אשראי תמונה: שרה ג'וי
