5 sự cố nghiêm trọng với HTTPS và SSL Security trên web
HTTPS, sử dụng SSL, cung cấp xác minh và bảo mật danh tính, để bạn biết bạn đã kết nối với trang web chính xác và không ai có thể nghe lén bạn. Dù sao đó cũng là lý thuyết. Trong thực tế, SSL trên web là một mớ hỗn độn.
Điều này không có nghĩa là mã hóa HTTPS và SSL là vô giá trị, vì chúng chắc chắn tốt hơn nhiều so với việc sử dụng các kết nối HTTP không được mã hóa. Ngay cả trong trường hợp xấu nhất, kết nối HTTPS bị xâm phạm sẽ chỉ không an toàn như kết nối HTTP.
Số lượng lớn các cơ quan có chứng chỉ
Trình duyệt của bạn có một danh sách tích hợp các cơ quan cấp chứng chỉ tin cậy. Trình duyệt chỉ tin tưởng các chứng chỉ được cấp bởi các cơ quan chứng nhận. Nếu bạn đã truy cập https://example.com, máy chủ web tại example.com sẽ cấp chứng chỉ SSL cho bạn và trình duyệt của bạn sẽ kiểm tra để đảm bảo chứng chỉ SSL của trang web được cấp cho example.com bởi cơ quan chứng nhận tin cậy. Nếu chứng chỉ được cấp cho một tên miền khác hoặc nếu nó không được cấp bởi cơ quan chứng nhận tin cậy, bạn sẽ thấy cảnh báo nghiêm trọng trong trình duyệt của mình.
Một vấn đề lớn là có rất nhiều cơ quan cấp chứng chỉ, vì vậy các vấn đề với một cơ quan cấp chứng chỉ có thể ảnh hưởng đến tất cả mọi người. Ví dụ: bạn có thể nhận chứng chỉ SSL cho tên miền của mình từ VeriSign, nhưng ai đó có thể thỏa hiệp hoặc lừa cơ quan chứng nhận khác và cũng nhận được chứng chỉ cho tên miền của bạn.
Cơ quan cấp chứng chỉ Không phải lúc nào cũng lấy cảm hứng
Các nghiên cứu đã phát hiện ra rằng một số cơ quan cấp chứng chỉ đã không thực hiện được sự chuyên cần tối thiểu khi cấp chứng chỉ. Họ đã cấp chứng chỉ SSL cho các loại địa chỉ không bao giờ yêu cầu chứng chỉ, chẳng hạn như cục bộ cục bộ, cục bộ luôn đại diện cho máy tính cục bộ. Vào năm 2011, EFF đã tìm thấy hơn 2000 chứng chỉ cho các loại localhost trực tuyến được cấp bởi các cơ quan chứng nhận hợp pháp, đáng tin cậy.
Nếu cơ quan cấp chứng chỉ tin cậy đã cấp rất nhiều chứng chỉ mà không cần xác minh rằng địa chỉ thậm chí còn hợp lệ ngay từ đầu, thì việc tự hỏi những lỗi khác mà họ đã gây ra là điều tự nhiên. Có lẽ họ cũng đã cấp chứng chỉ trái phép cho các trang web của người khác cho những kẻ tấn công.
Chứng chỉ xác thực mở rộng, hoặc chứng chỉ EV, cố gắng giải quyết vấn đề này. Chúng tôi đã giải quyết các vấn đề với chứng chỉ SSL và cách chứng chỉ EV cố gắng giải quyết chúng.
Cơ quan cấp chứng chỉ có thể bị buộc phải cấp Giấy chứng nhận giả
Bởi vì có rất nhiều cơ quan chứng nhận, họ ở khắp nơi trên thế giới và bất kỳ cơ quan chứng nhận nào cũng có thể cấp chứng chỉ cho bất kỳ trang web nào, chính phủ có thể buộc các cơ quan cấp chứng chỉ cấp cho họ chứng chỉ SSL cho trang web mà họ muốn mạo danh.
Điều này có lẽ đã xảy ra gần đây tại Pháp, nơi Google phát hiện ra một chứng chỉ giả mạo cho google.com đã được cấp bởi cơ quan chứng nhận Pháp ANSSI. Chính quyền sẽ cho phép chính phủ Pháp hoặc bất kỳ ai khác có quyền mạo danh trang web của Google, dễ dàng thực hiện các cuộc tấn công trung gian. ANSSI tuyên bố chứng chỉ chỉ được sử dụng trên một mạng riêng để theo dõi người dùng của chính mạng chứ không phải bởi chính phủ Pháp. Ngay cả khi điều này là đúng, nó sẽ vi phạm chính sách của ANSSI khi cấp chứng chỉ.
Bí mật chuyển tiếp hoàn hảo không được sử dụng ở mọi nơi
Nhiều trang web không sử dụng bí mật hoàn hảo về phía trước, một kỹ thuật giúp mã hóa khó bị bẻ khóa hơn. Nếu không có bí mật hoàn hảo về phía trước, kẻ tấn công có thể thu được một lượng lớn dữ liệu được mã hóa và giải mã tất cả bằng một khóa bí mật duy nhất. Chúng tôi biết rằng NSA và các cơ quan an ninh nhà nước khác trên thế giới đang thu thập dữ liệu này. Nếu họ phát hiện ra khóa mã hóa được sử dụng bởi một trang web nhiều năm sau đó, họ có thể sử dụng nó để giải mã tất cả dữ liệu được mã hóa mà họ đã thu thập giữa trang web đó và mọi người đã kết nối với nó.
Bảo mật hoàn hảo về phía trước giúp bảo vệ chống lại điều này bằng cách tạo một khóa duy nhất cho mỗi phiên. Nói cách khác, mỗi phiên được mã hóa bằng một khóa bí mật khác nhau, vì vậy tất cả chúng không thể được mở khóa bằng một khóa duy nhất. Điều này ngăn người nào đó giải mã một lượng lớn dữ liệu được mã hóa cùng một lúc. Vì rất ít trang web sử dụng tính năng bảo mật này, nhiều khả năng các cơ quan an ninh nhà nước có thể giải mã tất cả dữ liệu này trong tương lai.
Người đàn ông trong cuộc tấn công trung bình và nhân vật Unicode
Đáng buồn thay, các cuộc tấn công trung gian vẫn có thể xảy ra với SSL. Về lý thuyết, việc kết nối với mạng Wi-Fi công cộng và truy cập trang web của ngân hàng của bạn là an toàn. Bạn biết rằng kết nối này an toàn vì nó qua HTTPS và kết nối HTTPS cũng giúp bạn xác minh rằng bạn thực sự được kết nối với ngân hàng của bạn.
Trong thực tế, việc kết nối với trang web của ngân hàng của bạn trên mạng Wi-Fi công cộng có thể nguy hiểm. Có những giải pháp khả thi có thể có một điểm nóng độc hại thực hiện các cuộc tấn công trung gian vào những người kết nối với nó. Ví dụ: một điểm truy cập Wi-Fi có thể thay mặt bạn kết nối với ngân hàng, gửi dữ liệu qua lại và ngồi ở giữa. Nó có thể lén chuyển hướng bạn đến một trang HTTP và thay mặt bạn kết nối với ngân hàng bằng HTTPS.
Nó cũng có thể sử dụng một địa chỉ HTTPS tương tự như homograph. Đây là một địa chỉ giống với ngân hàng của bạn trên màn hình, nhưng thực sự sử dụng các ký tự Unicode đặc biệt nên nó khác. Kiểu tấn công cuối cùng và đáng sợ nhất này được gọi là một cuộc tấn công homograph tên miền quốc tế hóa. Kiểm tra bộ ký tự Unicode và bạn sẽ tìm thấy các ký tự về cơ bản giống với 26 ký tự được sử dụng trong bảng chữ cái Latinh. Có thể các o trong google.com bạn được kết nối không thực sự là o, nhưng là các ký tự khác.
Chúng tôi đã đề cập chi tiết hơn về vấn đề này khi chúng tôi xem xét các mối nguy hiểm khi sử dụng điểm truy cập Wi-Fi công cộng.
Tất nhiên, HTTPS hoạt động tốt hầu hết thời gian. Không có khả năng bạn sẽ gặp phải một cuộc tấn công trung gian thông minh như vậy khi bạn ghé thăm một quán cà phê và kết nối với Wi-Fi của họ. Điểm thực sự là HTTPS có một số vấn đề nghiêm trọng. Hầu hết mọi người tin tưởng nó và không nhận thức được những vấn đề này, nhưng nó không ở đâu hoàn hảo.
Tín dụng hình ảnh: Sarah Joy