HTTPS и SSL са протоколите, използвани за осигуряване на мрежата. HTTPS всъщност използва SSL, за да свърши работата. Цялата идея с тези протоколи е да се увери, че никой не може да подслушва важни данни, пътуващи по мрежата. Но нещата не са такива, каквито изглеждат, защото всъщност SSL е объркана.
Не го усуквайте, защото това не означава, че криптирането за SSL и HTTPS е безполезно за потребителите в мрежата. Те имат своите проблеми, но и двете са много по-добри от HTTP по всякакъв възможен начин.
Проблеми с HTTPS и SSL
Човек в средата атакува
По някаква странна причина, "Човекът в средните атаки" все още е възможно с SSL. Концепцията е проста; потребителите трябва да могат да се свързват с уебсайта на банката си чрез публичен Wi-Fi, тъй като връзката е сигурна, оттук нататък нападателите не би трябвало да намерят средствата, за да се промъкнат.
Нападение чрез този формуляр би могло да пренасочи потребителя към HTTP уебсайт, който изглежда подобен на защитен, а оттам нападателите ще имат терминали, създадени с надеждата да откраднат ценна информация.
Твърде много сертифициращи органи
Вашият уеб браузър има списък с вградени сертификационни органи. Всички уеб браузъри се доверяват само на издадените от вградените сертификати. Ако потребителите посетят уебсайт, защитен чрез SSL, той ще издаде сертификат и уеб браузърът ще продължи да проверява дали уебсайтът е сигурен, че сертификатът е предназначен да идва от тази конкретна страница.
Ето какво е, защото има толкова много органи за сертифициране, че проблемите с един сертификат могат да засегнат всички. Това никога не е добре и засега няма много уебмастъри, които да могат да направят това.
Служители, които издават фалшиви сертификати
Невероятно, фалшивите сертификати са там и причиняват проблеми за потребителите на уеб. Дори Google и други компании са се превърнали в плячка за това в миналото.
Правителството или други имаха възможността да използват този сертификат за измамници, за да се представят на официалната страница на Google, което би позволило да се извърши мъж в средна атака. В защитата си ANSSI заяви, че сертификатът е създаден, за да шпионира собствените си потребители, като по този начин френското правителство няма достъп до него.
Някои сертификати наведнъж са се провалили
Според проучвания, извършени в миналото, някои сертифициращи органи не са успели да предоставят сертификати. Това означава, че някои уебсайтове може да не изискват сертификат, но органът все пак го доставя. Ако това се прави редовно, може да се види само какви други грешки са били направени и все още се правят.
