Hemsida » hur » 5 Allvarliga problem med HTTPS och SSL-säkerhet på webben

    5 Allvarliga problem med HTTPS och SSL-säkerhet på webben

    HTTPS, som använder SSL, tillhandahåller identitetsverifiering och säkerhet, så du vet att du är ansluten till rätt webbplats och ingen kan avlyssna på dig. Det är alltså teorin. I praktiken är SSL på webben typ av en röra.

    Det betyder inte att HTTPS och SSL-kryptering är värdelösa, eftersom de är definitivt mycket bättre än att använda okrypterade HTTP-anslutningar. Även i värsta fall kommer en kompromitterad HTTPS-anslutning bara att vara så osäker som en HTTP-anslutning.

    Det stora antalet certifikatutfärdare

    Din webbläsare har en inbyggd lista över betrodda certifikatmyndigheter. Webbläsare litar bara på certifikat som utfärdats av dessa certifikatmyndigheter. Om du besökte https://example.com, skulle webbservern på example.com presentera ett SSL-certifikat för dig och din webbläsare skulle kontrollera att webbplatsens SSL-certifikat utfärdades för example.com av en betrodd certifikatmyndighet. Om certifikatet utfärdades för en annan domän eller om den inte utfärdades av en betrodd certifikatmyndighet, ser du en allvarlig varning i din webbläsare.

    Ett stort problem är att det finns så många certifikatmyndigheter, så problem med en certifikatmyndighet kan påverka alla. Till exempel kan du få ett SSL-certifikat för din domän från VeriSign, men någon kan kompromissa eller lura en annan certifikatmyndighet och få ett certifikat för din domän också.

    Certifikatmyndigheterna har inte alltid inspirerat tilltro

    Studier har funnit att vissa certifikatmyndigheter har misslyckats med att göra till och med minimal due diligence när de utfärdar certifikat. De har utfärdat SSL-certifikat för typer av adresser som aldrig behöver kräva ett certifikat, till exempel "localhost", som alltid representerar den lokala datorn. År 2011 hittade EFF över 2000 certifikat för "localhost" som utfärdats av legitima, betrodda certifikatmyndigheter.

    Om betrodda certifikatmyndigheter har utfärdat så många certifikat utan att verifiera att adresserna är lika giltiga i första hand, är det bara naturligt att undra vilka andra misstag de har gjort. Kanske har de också utfärdat obehöriga certifikat för andra människors webbplatser till angripare.

    Extended Validation-certifikat, eller EV-certifikat, försöker lösa detta problem. Vi har täckt problemen med SSL-certifikat och hur EV-certifikat försöker lösa dem.

    Certifikatutfärdare kan vara tvungna att utfärda falska certifikat

    Eftersom det finns så många certifikatmyndigheter är de över hela världen och alla certifikatmyndigheter kan utfärda ett certifikat för vilken webbplats som helst, regeringar kan tvinga certifikatmyndigheter att ge dem ett SSL-certifikat för en webbplats som de vill utgöra.

    Detta hände förmodligen nyligen i Frankrike, där Google upptäckte ett skumligt certifikat för google.com hade utfärdats av franska certifikatmyndigheten ANSSI. Myndigheten skulle ha gjort det möjligt för den franska regeringen eller den som hade den att efterlikna Googles hemsida och enkelt utföra man-i-mitten attacker. ANSSI hävdade att certifikatet endast användes på ett privat nätverk för att snoopa på nätets egna användare, inte av den franska regeringen. Även om detta var sant, skulle det vara ett brott mot ANSSIs egna policyer vid utfärdande av certifikat.

    Perfekt framåtriktad hemlighet används inte överallt

    Många webbplatser använder inte "perfekt framåtriktad hemlighet", en teknik som skulle göra kryptering svårare att spricka. Utan perfekt framåtriktad sekretess kan en angripare fånga en stor mängd krypterad data och dekryptera allt med en enda hemlig nyckel. Vi vet att NSA och andra statliga säkerhetsbyråer runt om i världen håller på att fånga dessa uppgifter. Om de upptäcker krypteringsnyckeln som används av en webbplats år senare kan de använda den för att dekryptera alla krypterade data som de har samlat in mellan den webbplatsen och alla som är anslutna till den.

    Perfekt framåtriktad sekretess hjälper till att skydda mot detta genom att skapa en unik nyckel för varje session. Med andra ord krypteras varje session med en annan hemlig nyckel, så de kan inte alla upplåsas med en enda nyckel. Detta förhindrar att någon dekrypterar en stor mängd krypterad data på en gång. Eftersom mycket få webbplatser använder denna säkerhetsfunktion är det mer sannolikt att de statliga säkerhetsbyråerna kan dekryptera alla dessa data i framtiden.

    Man i Middle Attacks och Unicode Characters

    Tyvärr är man-i-mitten attacker fortfarande möjliga med SSL. I teorin borde det vara säkert att ansluta till ett offentligt Wi-Fi-nätverk och komma åt din banks webbplats. Du vet att anslutningen är säker eftersom den är över HTTPS, och HTTPS-anslutningen hjälper dig också att verifiera att du faktiskt är ansluten till din bank.

    I praktiken kan det vara farligt att ansluta till din banks webbplats på ett offentligt Wi-Fi-nätverk. Det finns lösningar utan hylla som kan få en skadlig hotspot att utföra man-i-mitten attacker på personer som ansluter till den. Till exempel kan en Wi-Fi-hotspot ansluta till banken på dina vägnar, skicka data fram och tillbaka och sitta i mitten. Det kan smidigt omdirigera dig till en HTTP-sida och ansluta till banken med HTTPS på dina vägnar.

    Det kan också använda en "homografisk liknande HTTPS-adress". Det här är en adress som liknar din bank på skärmen, men som faktiskt använder särskilda Unicode-tecken så att det är annorlunda. Denna sista och skrämmaste typ av attack är känd som en internationaliserad domännamnshomografiattack. Undersök Unicode teckenuppsättningen och du hittar tecken som ser i stort sett ut som de 26 tecknen som används i latinska alfabetet. Kanske är o i google.com du är ansluten till faktiskt inte o, men andra karaktärer.

    Vi omfattade detta mer i detalj när vi tittade på farorna med att använda en offentlig Wi-Fi-hotspot.


    Självklart fungerar HTTPS bra mest av tiden. Det är osannolikt att du kommer att stöta på en så smart man-i-mitten attack när du besöker en kafé och kopplar till deras Wi-Fi. Den verkliga meningen är att HTTPS har några allvarliga problem. De flesta människor litar på det och är inte medvetna om dessa problem, men det är ingenstans nära perfekt.

    Bildkrediter: Sarah Joy