HTTPS, sử dụng SSL , cung cấp xác minh danh tính và bảo mật để bạn biết mình đã kết nối với đúng trang web và không ai có thể nghe trộm bạn. Dù sao thì đó cũng là lý thuyết. Trên thực tế, SSL trên web là một mớ hỗn độn.
Điều này không có nghĩa là mã hóa HTTPS và SSL là vô giá trị, vì chúng chắc chắn tốt hơn nhiều so với việc sử dụng các kết nối HTTP không được mã hóa. Ngay cả trong trường hợp xấu nhất, kết nối HTTPS bị xâm phạm sẽ chỉ không an toàn như kết nối HTTP.
Số lượng tuyệt đối của tổ chức phát hành chứng chỉ
LIÊN QUAN: HTTPS là gì và tại sao tôi nên quan tâm?
Trình duyệt của bạn được tích hợp sẵn danh sách các tổ chức phát hành chứng chỉ đáng tin cậy. Trình duyệt chỉ tin cậy các chứng chỉ do các tổ chức phát hành chứng chỉ này cấp. Nếu bạn đã truy cập https://example.com, máy chủ web tại example.com sẽ cung cấp chứng chỉ SSL cho bạn và trình duyệt của bạn sẽ kiểm tra để đảm bảo rằng chứng chỉ SSL của trang web đã được cấp bởi tổ chức phát hành chứng chỉ đáng tin cậy cho example.com. Nếu chứng chỉ được cấp cho một miền khác hoặc nếu chứng chỉ không được cấp bởi tổ chức phát hành chứng chỉ đáng tin cậy, bạn sẽ thấy một cảnh báo nghiêm trọng trong trình duyệt của mình.
Một vấn đề chính là có rất nhiều tổ chức cấp chứng chỉ, vì vậy các vấn đề với một tổ chức cấp chứng chỉ có thể ảnh hưởng đến tất cả mọi người. Ví dụ: bạn có thể nhận được chứng chỉ SSL cho miền của mình từ VeriSign, nhưng ai đó có thể xâm phạm hoặc lừa tổ chức phát hành chứng chỉ khác và cũng lấy được chứng chỉ cho miền của bạn.
Tổ chức phát hành chứng chỉ không phải lúc nào cũng được truyền cảm hứng tự tin
LIÊN QUAN: Cách trình duyệt xác minh danh tính trang web và bảo vệ chống lại kẻ mạo danh
Các nghiên cứu đã phát hiện ra rằng một số cơ quan cấp chứng chỉ đã không thực hiện trách nhiệm giải trình ngay cả khi cấp chứng chỉ. Họ đã cấp chứng chỉ SSL cho các loại địa chỉ không bao giờ yêu cầu chứng chỉ, chẳng hạn như “localhost”, luôn đại diện cho máy tính cục bộ. Năm 2011, EFF tìm hơn 2000 chứng chỉ cho “localhost” được cấp bởi các cơ quan cấp chứng chỉ hợp pháp, đáng tin cậy.
Nếu cơ quan cấp chứng chỉ đáng tin cậy đã cấp rất nhiều chứng chỉ mà không xác minh rằng các địa chỉ đó thậm chí còn hợp lệ ngay từ đầu, thì việc tự hỏi họ đã mắc phải những sai lầm nào khác là điều đương nhiên. Có lẽ họ cũng đã cấp chứng chỉ trái phép cho trang web của người khác cho những kẻ tấn công.
Chứng chỉ Xác thực mở rộng hoặc chứng chỉ EV, cố gắng giải quyết vấn đề này. Chúng tôi đã bao phủ các vấn đề với chứng chỉ SSL và cách chứng chỉ EV cố gắng giải quyết chúng .
Cơ quan cấp chứng chỉ có thể bị buộc cấp chứng chỉ giả
Vì có rất nhiều tổ chức phát hành chứng chỉ, họ ở khắp nơi trên thế giới và bất kỳ tổ chức phát hành chứng chỉ nào cũng có thể cấp chứng chỉ cho bất kỳ trang web nào, các chính phủ có thể buộc tổ chức phát hành chứng chỉ cấp cho họ chứng chỉ SSL cho trang web mà họ muốn mạo danh.
Điều này có thể xảy ra gần đây ở Pháp, nơi Google đã phát hiện ra chứng chỉ giả mạo cho google.com đã được cấp bởi tổ chức phát hành chứng chỉ ANSSI của Pháp. Cơ quan có thẩm quyền sẽ cho phép chính phủ Pháp hoặc bất kỳ ai khác có quyền này mạo danh trang web của Google, dễ dàng thực hiện các cuộc tấn công trung gian. ANSSI tuyên bố chứng chỉ chỉ được sử dụng trên một mạng riêng để theo dõi người dùng của chính mạng đó, không phải bởi chính phủ Pháp. Ngay cả khi điều này là đúng, việc phát hành chứng chỉ sẽ vi phạm chính sách của ANSSI.
Bí mật chuyển tiếp hoàn hảo không được sử dụng ở mọi nơi
Nhiều trang web không sử dụng “bí mật chuyển tiếp hoàn hảo”, một kỹ thuật khiến mã hóa khó bị bẻ khóa hơn. Nếu không có bí mật chuyển tiếp hoàn hảo, kẻ tấn công có thể nắm bắt một lượng lớn dữ liệu được mã hóa và giải mã tất cả bằng một khóa bí mật duy nhất. Chúng tôi biết rằng NSA và các cơ quan an ninh nhà nước khác trên thế giới đang nắm bắt dữ liệu này. Nếu họ phát hiện ra khóa mã hóa được trang web sử dụng nhiều năm sau đó, họ có thể sử dụng khóa đó để giải mã tất cả dữ liệu được mã hóa mà họ đã thu thập giữa trang web đó và mọi người kết nối với trang web đó.
Bảo mật chuyển tiếp hoàn hảo giúp bảo vệ chống lại điều này bằng cách tạo một khóa duy nhất cho mỗi phiên. Nói cách khác, mỗi phiên được mã hóa bằng một khóa bí mật khác nhau, vì vậy không thể mở khóa tất cả bằng một khóa duy nhất. Điều này ngăn ai đó giải mã một lượng lớn dữ liệu được mã hóa cùng một lúc. Do rất ít trang web sử dụng tính năng bảo mật này nên nhiều khả năng các cơ quan an ninh nhà nước có thể giải mã tất cả dữ liệu này trong tương lai.
Man in The Middle Attacks và các ký tự Unicode
Đáng buồn thay, các cuộc tấn công man-in-the-middle vẫn có thể xảy ra với SSL. Về lý thuyết, sẽ an toàn khi kết nối với mạng Wi-Fi công cộng và truy cập trang web ngân hàng của bạn. Bạn biết rằng kết nối này an toàn vì nó qua HTTPS và kết nối HTTPS cũng giúp bạn xác minh rằng bạn thực sự được kết nối với ngân hàng của mình.
Trên thực tế, có thể nguy hiểm khi kết nối với trang web ngân hàng của bạn trên mạng Wi-Fi công cộng. Có những giải pháp hiện có có thể có một điểm phát sóng độc hại thực hiện các cuộc tấn công trung gian vào những người kết nối với nó. Ví dụ: điểm phát sóng Wi-Fi có thể thay mặt bạn kết nối với ngân hàng, gửi dữ liệu qua lại và nằm ở giữa. Nó có thể lén lút chuyển hướng bạn đến trang HTTP và thay mặt bạn kết nối với ngân hàng bằng HTTPS.
Nó cũng có thể sử dụng một “địa chỉ HTTPS tương tự như đồng nhất”. Đây là một địa chỉ trông giống với địa chỉ ngân hàng của bạn trên màn hình, nhưng thực tế sử dụng các ký tự Unicode đặc biệt nên địa chỉ này khác. Loại tấn công cuối cùng và đáng sợ nhất này được gọi là cuộc tấn công đồng nhất tên miền được quốc tế hóa. Kiểm tra bộ ký tự Unicode và bạn sẽ tìm thấy các ký tự về cơ bản giống với 26 ký tự được sử dụng trong bảng chữ cái Latinh. Có thể chữ o trong google.com mà bạn kết nối không thực sự là chữ o, mà là các ký tự khác.
Chúng tôi đã đề cập chi tiết hơn về vấn đề này khi chúng tôi xem xét sự nguy hiểm của việc sử dụng điểm phát sóng Wi-Fi công cộng .
Tất nhiên, HTTPS hầu hết hoạt động tốt. Không chắc bạn sẽ gặp phải một cuộc tấn công thông minh như vậy khi bạn ghé vào một quán cà phê và kết nối với Wi-Fi của họ. Điểm thực sự là HTTPS có một số vấn đề nghiêm trọng. Hầu hết mọi người tin tưởng nó và không biết về những vấn đề này, nhưng nó không có gì là hoàn hảo cả.
Tín dụng hình ảnh: Sarah Joy
