SSL kullanan HTTPS , kimlik doğrulama ve güvenlik sağlar, böylece doğru web sitesine bağlandığınızı ve hiç kimsenin sizi dinleyemeyeceğini bilirsiniz. Her neyse, teori bu. Pratikte, web üzerindeki SSL bir çeşit karmaşa.
Şifrelenmemiş HTTP bağlantılarını kullanmaktan kesinlikle çok daha iyi olduklarından, bu HTTPS ve SSL şifrelemesinin değersiz olduğu anlamına gelmez. En kötü senaryoda bile, tehlikeye atılmış bir HTTPS bağlantısı yalnızca HTTP bağlantısı kadar güvensiz olacaktır.
Çok Sayıda Sertifika Yetkilisi
İLİŞKİLİ: HTTPS Nedir ve Neden Önemsemeliyim?
Tarayıcınızda güvenilir sertifika yetkililerinin yerleşik bir listesi vardır. Tarayıcılar yalnızca bu sertifika yetkilileri tarafından verilen sertifikalara güvenir. Https://example.com'u ziyaret ettiyseniz, example.com adresindeki web sunucusu size bir SSL sertifikası sunar ve tarayıcınız web sitesinin SSL sertifikasının example.com için güvenilir bir sertifika yetkilisi tarafından verildiğinden emin olmak için kontrol eder. Sertifika başka bir alan adı için verildiyse veya güvenilir bir sertifika yetkilisi tarafından verilmediyse, tarayıcınızda ciddi bir uyarı görürsünüz.
Önemli bir sorun, çok fazla sertifika yetkilisinin olmasıdır, bu nedenle bir sertifika yetkilisiyle ilgili sorunlar herkesi etkileyebilir. Örneğin, VeriSign'dan alanınız için bir SSL sertifikası alabilirsiniz, ancak birisi başka bir sertifika yetkilisini tehlikeye atabilir veya kandırabilir ve alanınız için de sertifika alabilir.
Sertifika Yetkilileri Her Zaman Güven Vermiyor
İLİŞKİLİ: Tarayıcılar Web Sitesi Kimliklerini Nasıl Doğruluyor ve Sahtekarlara Karşı Nasıl Koruyor?
Araştırmalar, bazı sertifika yetkililerinin sertifikaları verirken asgari durum tespiti bile yapmadıklarını bulmuştur. Her zaman yerel bilgisayarı temsil eden "localhost" gibi hiçbir zaman sertifika gerektirmeyen adres türleri için SSL sertifikaları verdiler. 2011'de EFF bulundu Meşru, güvenilir sertifika yetkilileri tarafından verilen "localhost" için 2000'den fazla sertifika.
Güvenilir sertifika yetkilileri, adreslerin en başta bile geçerli olduğunu doğrulamadan bu kadar çok sertifika verdiyse, başka hangi hataları yaptıklarını merak etmek doğaldır. Belki de başkalarının web siteleri için saldırganlara yetkisiz sertifikalar vermişlerdir.
Genişletilmiş Doğrulama sertifikaları veya EV sertifikaları bu sorunu çözmeye çalışır. Biz ele aldık SSL sertifikalarıyla ilgili sorunlar ve EV sertifikalarının bunları nasıl çözmeye çalıştığı .
Sertifika Yetkilileri Sahte Sertifikalar Vermek Zorunda Olabilir
Çok fazla sertifika yetkilisi olduğu için, dünyanın her yerindeler ve herhangi bir sertifika yetkilisi herhangi bir web sitesi için bir sertifika verebildiğinden, hükümetler sertifika yetkililerini taklit etmek istedikleri bir site için kendilerine bir SSL sertifikası vermeye zorlayabilir.
Bu muhtemelen son zamanlarda Fransa'da oldu. Google keşfetti Fransız sertifika yetkilisi ANSSI tarafından google.com için sahte bir sertifika yayınlanmıştı. Yetkili, Fransız hükümetine veya ona sahip olan herhangi birinin Google'ın web sitesini taklit etmesine ve kolayca ortadaki adam saldırıları gerçekleştirmesine izin verecekti. ANSSI, sertifikanın Fransız hükümeti tarafından değil, yalnızca ağın kendi kullanıcılarını gözetlemek için özel bir ağda kullanıldığını iddia etti. Bu doğru olsa bile, sertifika verirken ANSSI'nin kendi politikalarının ihlali anlamına gelir.
Mükemmel İletim Gizliliği Her Yerde Kullanılmıyor
Çoğu site, şifrelemenin kırılmasını daha zor hale getirecek bir teknik olan "mükemmel iletme gizliliği" kullanmaz. Kusursuz iletme gizliliği olmadan, bir saldırgan büyük miktarda şifrelenmiş veriyi yakalayabilir ve tek bir gizli anahtarla bunların şifresini çözebilir. NSA ve dünyanın dört bir yanındaki diğer devlet güvenlik kurumlarının bu verileri ele geçirdiğini biliyoruz. Yıllar sonra bir web sitesi tarafından kullanılan şifreleme anahtarını keşfederlerse, o web sitesi ile ona bağlı herkes arasında topladıkları tüm şifrelenmiş verilerin şifresini çözmek için kullanabilirler.
Mükemmel iletme gizliliği, her oturum için benzersiz bir anahtar oluşturarak buna karşı korunmaya yardımcı olur. Diğer bir deyişle, her oturum farklı bir gizli anahtarla şifrelenir, bu nedenle hepsinin kilidi tek bir anahtarla açılamaz. Bu, birinin aynı anda çok büyük miktarda şifrelenmiş verinin şifresini çözmesini engeller. Çok az web sitesi bu güvenlik özelliğini kullandığından, eyalet güvenlik kurumlarının gelecekte tüm bu verilerin şifresini çözmesi daha olasıdır.
Ortadaki Saldırılardaki Adam ve Unicode Karakterler
İLİŞKİLİ: Şifrelenmiş Web Sitelerine Erişirken Bile Herkese Açık Wi-Fi Ağı Kullanmak Neden Tehlikeli Olabilir?
Ne yazık ki, ortadaki adam saldırıları SSL ile hala mümkündür. Teorik olarak, halka açık bir Wi-Fi ağına bağlanmak ve bankanızın sitesine erişmek güvenli olmalıdır. HTTPS üzerinden olduğu için bağlantının güvenli olduğunu biliyorsunuz ve HTTPS bağlantısı da bankanıza gerçekten bağlı olduğunuzu doğrulamanıza yardımcı oluyor.
Pratikte, bankanızın web sitesine halka açık bir Wi-Fi ağından bağlanmak tehlikeli olabilir. Kötü amaçlı bir erişim noktasının, ona bağlanan kişilere ortadaki adam saldırıları gerçekleştirmesine neden olabilecek hazır çözümler vardır. Örneğin, bir Wi-Fi hotspot sizin adınıza bankaya bağlanarak verileri ileri geri gönderebilir ve ortada oturabilir. Sizi gizlice bir HTTP sayfasına yönlendirebilir ve sizin adınıza HTTPS ile bankaya bağlanabilir.
Ayrıca "homografiye benzer bir HTTPS adresi" de kullanabilir. Bu, ekranda bankanızın ekranıyla aynı görünen, ancak aslında özel Unicode karakterleri kullanan, dolayısıyla farklı bir adrestir. Bu son ve en korkutucu saldırı türü, uluslararasılaştırılmış alan adı homograf saldırısı olarak bilinir. Unicode karakter kümesini inceleyin ve temelde Latin alfabesinde kullanılan 26 karakterle aynı görünen karakterleri bulacaksınız. Belki bağlı olduğunuz google.com'daki o'lar aslında O'lar değil, diğer karakterler.
Baktığımızda bunu daha detaylı ele aldık halka açık bir Wi-Fi erişim noktası kullanmanın tehlikeleri .
Elbette HTTPS çoğu zaman iyi çalışıyor. Bir kafeyi ziyaret ettiğinizde ve Wi-Fi ağına bağlandığınızda bu kadar zekice bir ortadaki adam saldırısıyla karşılaşmanız pek olası değildir. Gerçek nokta, HTTPS'nin bazı ciddi sorunları olmasıdır. Çoğu insan ona güvenir ve bu sorunların farkında değildir, ancak mükemmele yakın değildir.
Resim Kredisi: Sarah Joy
