5 Web上的HTTPS和SSL安全的严重问题

problems-with-https-and-ssl-encryption

HTTPS,使用SSL提供的身份验证和安全性,所以你知道你连接到正确的网站,没有人可以在你窃听。 这是理论,反正。 在实践中,SSL在网络上是一种混乱。

这并不意味着HTTPS和SSL加密是毫无价值的,因为它们绝对比使用未加密的HTTP连接好得多。 即使在最坏的情况下,受损的HTTPS连接也只会像HTTP连接那样不安全。

纯粹的证书颁发机构数量

您的浏览器有一个内置的可信证书颁发机构列表。 浏览器只信任这些证书颁发机构颁发的证书。 如果您访问了https://example.com,example.com上的网络服务器会向您提供一个SSL证书,您的浏览器将检查以确保该网站的SSL证书是由受信任的证书颁发机构颁发的example.com。 如果证书是针对其他域颁发的,或者它不是由受信任的证书颁发机构颁发的,则您的浏览器中会出现严重警告。

一个主要问题是有这么多的证书颁发机构,因此一个证书颁发机构的问题可能影响每个人。 例如,您可能从VeriSign获取您的域的SSL证书,但有人可能会妥协或欺骗其他证书颁发机构,并为您的域获取证书。

trusted-root-certification-authorities

证书机构并不总是启发信心

研究发现,一些证书颁发机构在签发证书时甚至没有做最少的尽职调查。 他们为不应该需要证书的地址类型(例如“localhost”)发出了SSL证书,这些地址始终代表本地计算机。 2011年,EFF 发现超过2000证书由合法的,受信任的证书机构颁发的“本地主机”。

如果可信任的证书颁发机构颁发了这么多的证书,而没有验证地址首先是否有效,那么自然地想知道他们做了什么其他错误。 也许他们还向其他人的网站发出了未经授权的证书来攻击攻击者。

扩展验证证书或EV证书尝试解决此问题。 我们已经介绍了与SSL证书的问题,以及如何EV证书,试图解决这些问题

证书机构可能被迫发出假证书

因为有这么多的证书颁发机构,他们遍布世界各地,任何证书颁发机构都可以为任何网站颁发证书,政府可以强制证书颁发机构向他们发出一个SSL证书,以供他们假冒的网站。

这可能是在法国,最近发生的谷歌发现了google.com已被法国的证书颁发机构颁发安西流氓证书。 当局将允许法国政府或任何其他人拥有它来冒充Google的网站,轻松地执行中间人攻击。 ANSSI声称该证书仅用于私人网络上窥探网络自己的用户,而不是由法国政府。 即使这是真的,这将违反ANSSI自己的政策,当颁发证书。

google-anssi-rogue-certificate-france

完美的向前保密不是在任何地方使用

许多网站不使用“完美的向前保密”,这将使加密更难以破解的技术。 没有完美的前向保密性,攻击者可以捕获大量的加密数据,并用一个秘密密钥解密所有数据。 我们知道世界各地的NSA和其他国家安全机构正在捕获这些数据。 如果他们几年后发现网站使用的加密密钥,他们可以使用它来解密他们在网站和所有与其连接的用户之间收集的所有加密数据。

完美的前向保密通过为每个会话生成唯一的密钥来帮助防止这种情况。 换句话说,每个会话用不同的秘密密钥加密,因此它们不能都用单个密钥解锁。 这防止某人同时解密大量的加密数据。 由于很少的网站使用此安全功能,更可能的是,国家安全机构可以解密所有这些数据在未来。

中间人攻击和Unicode字符的人

可悲的是,中间人攻击仍然可以使用SSL。 在理论上,连接到公共Wi-Fi网络并访问您银行的网站是安全的。 您知道连接是安全的,因为它是通过HTTPS,HTTPS连接还可以帮助您验证您是否真的连接到您的银行。

实际上,在公共Wi-Fi网络上连接到您银行的网站可能很危险。 有现成的解决方案,可以有恶意的热点对连接到它的人执行中间人攻击。 例如,Wi-Fi热点可能代表您连接到银行,来回发送数据并坐在中间。 它可能会偷偷地将您重定向到HTTP页面,并代表您使用HTTPS连接到银行。

它也可以使用“同形词相似的HTTPS地址”。这是一个看起来与银行在屏幕上相同的地址,但实际上使用特殊的Unicode字符,因此它不同。 这种最后和最可怕的攻击类型称为国际化域名同源攻击。 检查Unicode字符集,你会发现看起来基本上与拉丁字母中使用的26个字符相同的字符。 也许在你连接的google.com的o实际上不是o的,但是其他字符。

我们更详细地涵盖这当我们在 使用公共Wi-Fi热点的危险

idn-homograph-attack


当然,HTTPS大多数时间工作。 当你访问一家咖啡店并连接到他们的Wi-Fi时,你不可能遇到这样一个聪明的中间人攻击。 真正的点是HTTPS有一些严重的问题。 大多数人都信任它,并不知道这些问题,但它不是接近完美。

图片来源: 萨拉喜悦

赞 (0)
分享到:更多 ()