SSLを使用するHTTPS 、IDの確認とセキュリティを提供するため、正しいWebサイトに接続していて、誰もあなたを盗聴することはできません。とにかく、それが理論です。実際には、Web上のSSLは一種の混乱です。
これは、HTTPSとSSLの暗号化が無価値であることを意味するものではありません。暗号化されていないHTTP接続を使用するよりも、はるかに優れているからです。最悪のシナリオでも、侵害されたHTTPS接続はHTTP接続と同じくらい安全ではありません。
認証局の膨大な数
関連: HTTPSとは何ですか、なぜ気にする必要がありますか?
お使いのブラウザには、信頼できる認証局のリストが組み込まれています。ブラウザは、これらの認証局によって発行された証明書のみを信頼します。 https://example.comにアクセスした場合、example.comのウェブサーバーがSSL証明書を提示し、ブラウザは、信頼できる認証局によってexample.comに対してウェブサイトのSSL証明書が発行されたことを確認します。証明書が別のドメインに対して発行された場合、または信頼できる認証局によって発行されたものでない場合は、ブラウザに重大な警告が表示されます。
大きな問題の1つは、認証局が非常に多いため、1つの認証局の問題がすべての人に影響を与える可能性があることです。たとえば、VeriSignからドメインのSSL証明書を取得する場合がありますが、誰かが別の認証局を侵害またはだまして、ドメインの証明書を取得する可能性もあります。
認証局は必ずしも自信を刺激したわけではありません
関連: ブラウザがWebサイトのIDを確認し、詐欺師から保護する方法
調査によると、一部の認証局は、証明書を発行する際に最小限のデューデリジェンスさえ実行できていません。彼らは、常にローカルコンピュータを表す「localhost」など、証明書を必要としないタイプのアドレスに対してSSL証明書を発行しました。 2011年、EFF 見つかった 正当で信頼できる認証局によって発行された「localhost」の2000を超える証明書。
信頼できる認証局が、アドレスがそもそも有効であることを確認せずに非常に多くの証明書を発行した場合、他にどのような間違いを犯したのか疑問に思うのは自然なことです。おそらく、他の人のWebサイトの無許可の証明書を攻撃者に発行したこともあります。
Extended Validation証明書またはEV証明書は、この問題の解決を試みます。カバーしました SSL証明書の問題とEV証明書がそれらを解決しようとする方法 。
認証局は偽の証明書の発行を余儀なくされる可能性があります
非常に多くの認証局があり、それらは世界中にあり、どの認証局も任意のWebサイトの証明書を発行できるため、政府は認証局に偽装したいサイトのSSL証明書を発行するように強制することができます。
これはおそらく最近フランスで起こったでしょう。 Googleが発見した google.comの不正な証明書は、フランスの認証局ANSSIによって発行されていました。当局は、フランス政府または他の誰でもGoogleのウェブサイトになりすまして、中間者攻撃を簡単に実行することを許可していました。 ANSSIは、証明書はプライベートネットワークでのみ使用され、フランス政府ではなく、ネットワーク自体のユーザーをスヌープすると主張しました。これが真実であったとしても、証明書を発行する際のANSSI独自のポリシーに違反することになります。
Perfect ForwardSecrecyはどこでも使用されているわけではありません
多くのサイトでは、暗号化の解読をより困難にする手法である「完全転送秘密」を使用していません。完全転送秘密がないと、攻撃者は大量の暗号化されたデータをキャプチャし、単一の秘密鍵ですべてを復号化する可能性があります。 NSAや世界中の他の国家安全保障局がこのデータを収集していることを私たちは知っています。数年後にウェブサイトで使用されている暗号化キーを発見した場合、そのキーを使用して、そのウェブサイトとそれに接続しているすべての人の間で収集したすべての暗号化データを復号化できます。
完全転送秘密は、セッションごとに一意のキーを生成することにより、これから保護するのに役立ちます。つまり、各セッションは異なる秘密鍵で暗号化されているため、1つの鍵ですべてのセッションのロックを解除することはできません。これにより、誰かが大量の暗号化されたデータを一度に復号化するのを防ぎます。このセキュリティ機能を使用しているWebサイトはほとんどないため、将来、州のセキュリティ機関がこのすべてのデータを復号化する可能性が高くなります。
中間者攻撃とUnicode文字
関連: 暗号化されたWebサイトにアクセスする場合でも、パブリックWi-Fiネットワークの使用が危険な理由
残念ながら、SSLを使用した場合でもman-in-the-middle攻撃が発生する可能性があります。理論的には、公共のWi-Fiネットワークに接続して、銀行のサイトにアクセスするのは安全なはずです。 HTTPSを介しているため、接続が安全であることがわかります。HTTPS接続は、実際に銀行に接続していることを確認するのにも役立ちます。
実際には、公共のWi-Fiネットワークで銀行のウェブサイトに接続するのは危険な場合があります。悪意のあるホットスポットに接続する人々に対してman-in-the-middle攻撃を実行させることができる既成のソリューションがあります。たとえば、Wi-Fiホットスポットがユーザーに代わって銀行に接続し、データをやり取りして中央に配置する場合があります。それはこっそりあなたをHTTPページにリダイレクトし、あなたに代わってHTTPSで銀行に接続する可能性があります。
また、「同形異義語に類似したHTTPSアドレス」を使用することもできます。これは、画面上では銀行と同じように見えますが、実際には特殊なUnicode文字を使用しているため、異なるアドレスです。この最後で最も恐ろしいタイプの攻撃は、国際化ドメイン名ホモグラフ攻撃として知られています。 Unicode文字セットを調べると、ラテンアルファベットで使用されている26文字と基本的に同じに見える文字が見つかります。接続しているgoogle.comのoは、実際にはoではなく、他の文字である可能性があります。
これについては、詳しく見ていきました。 公共のWi-Fiホットスポットを使用することの危険性 。
もちろん、HTTPSはほとんどの場合正常に機能します。コーヒーショップに行ってWi-Fiに接続するときに、このような巧妙な中間者攻撃に遭遇する可能性はほとんどありません。本当のポイントは、HTTPSにはいくつかの深刻な問題があるということです。ほとんどの人はそれを信頼し、これらの問題に気づいていませんが、完璧にはほど遠いです。
画像クレジット: サラジョイ
