HTTPS, joka käyttää SSL: tä, tarjoaa tunnistusta ja turvallisuutta, joten tiedät, että olet yhteydessä oikeaan verkkosivustoon, eikä kukaan voi salakuunnella sinua. Se on kuitenkin teoria. Käytännössä SSL verkossa on eräänlainen sotku.
Tämä ei tarkoita sitä, että HTTPS- ja SSL-salaus ovat arvottomia, koska ne ovat varmasti paljon parempia kuin salaamattomien HTTP-yhteyksien käyttäminen. Jopa pahimmassa tapauksessa vaarantunut HTTPS-yhteys on niin epävarmaa kuin HTTP-yhteys.
Selaimellasi on sisäänrakennettu luotettujen varmentajien luettelo. Selaimet luottaa vain näiden varmenteiden myöntäjien antamiin todistuksiin. Jos olet vieraillut osoitteessa https://example.com, verkkosivustossa osoitteessa example.com näyttäisi SSL-sertifikaatin sinulle ja selaimesi tarkistaisi, että luotettu varmentaja on antanut verkkosivuston SSL-sertifikaatin esimerkille.fi. Jos sertifikaatti on myönnetty toiselle verkkotunnukselle tai jos sitä ei ole myöntänyt luotettava varmentaja, näet vakavan varoituksen selaimessasi.
Yksi suurimmista ongelmista on se, että on niin monta varmentajaa, joten yhden varmenteen myöntäjän ongelmat voivat vaikuttaa kaikkiin. Saat esimerkiksi SSL-sertifikaatin verkkotunnuksestasi VeriSignista, mutta joku saattaa vaarantaa tai varastaa toisen varmenneviranomaisen ja hankkia sertifikaatin verkkotunnuksellesi.
Tutkimukset ovat osoittaneet, että jotkut sertifikaattien viranomaiset eivät ole tehneet jopa vähäistä due diligenceä todistusten myöntämisen yhteydessä. He ovat antaneet SSL-sertifikaatit osoitetyypeille, jotka eivät koskaan saisi tarvita todistusta, kuten "Äúlocalhost", joka aina edustaa paikallista tietokonetta. Vuonna 2011 EFF löysi yli 2000 todistukset, jotka perustettiin laillisille luotettaville todistuksen myöntäjille.
Jos luotettavien varmenteen myöntäjät ovat antaneet niin monta varmennetta varmistamatta, että osoitteet ovat jopa päteviä, on luonnollista ihmetellä, mitä muita virheitä he ovat tehneet. Ehkä he ovat myös myöntäneet luvattomia todistuksia muiden ihmisten verkkosivustoille hyökkääjille.
Laajennetut validointitodistukset tai EV-varmenteet yrittävät ratkaista tämän ongelman. Olemme selvittäneet SSL-varmenteiden ongelmat ja miten EV-varmenteet yrittävät ratkaista ne.
Koska niillä on niin monta varmenneviranomaista, he ovat kaikkialla maailmassa ja kaikki varmenneviranomaiset voivat antaa todistuksen mille tahansa verkkosivustolle. Valtiot voivat pakottaa varmenteita viranomaisille antamaan heille SSL-sertifikaatin sivustolle, jonka he haluavat laulaa.
Tämä tapahtui todennäköisesti äskettäin Ranskassa, jossa Google löysi rogue-todistuksen osoitteesta google.com, jonka oli antanut ranskalainen varmenteen myöntäjä ANSSI. Viranomainen olisi antanut Ranskan hallitukselle tai kenelle tahansa muulle, että se olisi loukannut Googlen verkkosivustoa ja pystynyt suorittamaan keskenään miehiä. ANSSI väitti, että sertifikaattia käytettiin vain yksityisverkossa verkon omista käyttäjille, ei Ranskan hallitukselle. Vaikka tämä olisikin totta, se olisi vastoin ANSSI: n omia käytäntöjä todistusten myöntämisen yhteydessä.
Monet sivustot eivät käytä, täydellistä eteenpäin salassapitovelvollisuutta, tekniikkaa, joka tekisi salauksen vaikeutumisen. Ilman täydellistä salassapitovelvollisuutta hyökkääjä voi kaapata suuren määrän salattua dataa ja purkaa sen kaiken yhdellä salaisella avaimella. Tiedämme, että NSA ja muut valtion turvallisuusjärjestöt ympäri maailmaa ovat kaappaamaan nämä tiedot. Jos he löytävät verkkosivuston käyttämän salausavain vuotta myöhemmin, he voivat käyttää sitä purkamaan kaikki salatut tiedot, jotka he ovat keränneet kyseisen sivuston ja kaikkien siihen liitettyjen tietojen välillä.
Täydellinen salakuuntelu auttaa suojaamaan tätä luomalla ainutlaatuisen avaimen jokaiselle istunnolle. Toisin sanoen jokainen istunto salataan eri salaisella avaimella, joten niitä ei voi avata yhdellä avaimella. Tämä estää jonkun salaamasta valtavan määrän salattuja tietoja kerralla. Koska vain harvat sivustot käyttävät tätä tietoturvaominaisuutta, on todennäköisempää, että valtion tietoturvavirastot voisivat purkaa kaikki nämä tiedot tulevaisuudessa.
Valitettavasti keskellä olevia ihmisiä keskellä on edelleen mahdollista SSL: llä. Teoriassa pitäisi olla turvallista muodostaa yhteyden julkiseen Wi-Fi-verkkoon ja käyttää pankkisi sivustoa. Tiedät, että yhteys on turvallinen, koska se on HTTPS: n yläpuolella, ja HTTPS-yhteys auttaa myös varmistamaan, että olet itse liitettynä pankkiisi.
Käytännössä voi olla vaarallista liittyä pankin verkkosivustoon julkisessa Wi-Fi-verkossa. On olemassa hyllyratkaisuja, joilla voi olla haitallinen hotspot suorittaa ihmisen keskellä olevia hyökkäyksiä ihmisiin, jotka liittyvät siihen. Esimerkiksi Wi-Fi-hotspot voi muodostaa yhteyden pankkiin puolestasi, lähettää tietoja edestakaisin ja istua keskellä. Se voi ohjata sinut HTTP-sivulle ja muodostaa yhteyden pankkiin HTTPS-palvelulla puolestasi.
Se voi myös käyttää Ñhomograph-vastaavaa HTTPS-osoitetta. Tämä on osoite, joka näyttää identtiseltä pankkisi näytöltä, mutta joka todella käyttää erityisiä Unicode-merkkejä, joten se on erilainen. Tämä viimeinen ja pelokkain hyökkäys tunnetaan kansainvälistetyksi verkkotunnusten homograafiksi hyökkäykseksi. Tutki Unicode-merkkijoukkoa ja löydät hahmoja, jotka näyttävät pohjimmiltaan samanlaisilta kuin latinalaisessa aakkosissa käytettävät 26 kirjainta. Ehkä o on google.com-sivustossa, johon olet yhteydessä, eivät ole oikeastaan o, vaan muita merkkejä.
Tarkastelimme tätä tarkemmin tarkastellessamme julkisen Wi-Fi-hotspotin käytön vaaraa.
Tietenkin HTTPS toimii hyvin suurimman osan ajasta. On epätodennäköistä, että kohtaat tällaisen älykkään ihmisen keskellä olevan hyökkäyksen käymällä kahvilassa ja liittymällä Wi-Fi-verkkoon. Todellakin on, että HTTPS: llä on vakavia ongelmia. Useimmat ihmiset luottavat siihen ja eivät ole tietoisia näistä ongelmista, mutta se ei missään ole täydellistä.
Image Credit: Sarah Joy
