Това не означава, че HTTPS и SSL криптирането са безполезни, тъй като те определено са много по-добри от използването на некриптирани HTTP връзки. Дори в най-лошия сценарий, компрометираната връзка HTTPS ще бъде само несигурна като HTTP връзка.
Пълният брой на сертифициращите органи
Вашият браузър има вграден списък с власти, които имат доверие. Браузърите се доверяват само на сертификати, издадени от тези органи за сертифициране. Ако сте посетили https://example.com, уеб сървърът в example.com ще ви представи сертификат за SSL и браузърът ви ще провери, за да се увери, че сертификатът за SSL на уебсайта е бил издаден, например example.com, от надежден сертифициращ орган. Ако сертификатът е издаден за друг домейн или ако не е бил издаден от доверен сертифициращ орган, ще видите сериозно предупреждение в браузъра си.
Един основен проблем е, че има толкова много сертифициращи органи, така че проблемите с един сертифициращ орган могат да засегнат всички. Например, може да получите SSL сертификат за вашия домейн от VeriSign, но някой може да компрометира или измами друг сертифициращ орган и да получи сертификат за вашия домейн също.
Удостоверяващите органи не винаги са вдъхновявали доверието
Проучванията установиха, че някои сертифициращи органи не са успели да направят минимална дължима грижа при издаването на сертификати. Те са издали сертификати за SSL за типове адреси, които никога не трябва да изискват сертификат, като "localhost", който винаги представлява локалния компютър. През 2011 г. ЕФР откри над 2000 удостоверения за "localhost", издадени от законни, надеждни сертифициращи органи.
Ако властите с доверени сертификати са издали толкова много сертификати, без да проверяват дали адресите са дори валидни, то е естествено да се чудя какви други грешки са направили. Може би те също са издали неупълномощени сертификати за уебсайтове на други хора за нападатели.
Разширените сертификати за валидност или сертификатите за EV, се опитват да разрешат този проблем. Покрихме проблемите със сертификатите за SSL и как се опитват да ги решат.
Сертифицираните органи могат да бъдат принудени да издават фалшиви сертификати
Тъй като има толкова много органи за сертифициране, те са навсякъде по света и всеки сертифициращ орган може да издаде сертификат за всеки уебсайт, правителствата могат да принудят сертифициращите органи да им издадат сертификат за SSL за сайт, който искат да се представят.
Това вероятно се случи наскоро във Франция, където Google откри сертификат за измама за google.com, издаден от френския сертификационен орган ANSSI. Властите биха позволили на френското правителство или на всеки, който го е поставил да се представя за уебсайта на Google, лесно да извърши атаки "човек-на-средата". ANSSI твърди, че сертификатът е бил използван само в частна мрежа, за да се следи от собствените потребители на мрежата, а не от френското правителство. Дори ако това беше вярно, това би било нарушение на собствените политики на ANSSI при издаването на сертификати.
Perfect Forward Secrecy не се използва навсякъде
Много сайтове не използват "перфектната поверителност", техника, която ще направи по-трудно криптирането. Без перфектна тайна, нападателят може да улови голямо количество криптирани данни и да ги дешифрира с един таен ключ. Знаем, че НСА и други държавни агенции по сигурността по света събират тези данни. Ако открият кода за шифроване, използван от уебсайт години по-късно, могат да го използват, за да разкодират всички шифровани данни, които са събрали между този уебсайт и всички, които са свързани с него.
Перфектната поверителност помагат да се защити срещу това, като се създаде уникален ключ за всяка сесия. С други думи, всяка сесия е шифрована с различен таен ключ, така че всички не могат да бъдат отключени с един ключ. Това не позволява на някой да декриптира огромно количество криптирани данни наведнъж. Тъй като много малко сайтове използват тази функция за сигурност, е по-вероятно агенциите за държавна сигурност да могат да декриптират всички тези данни в бъдеще.
Човек в Средните атаки и Unicode герои
За съжаление, атаките "човек-в-средата" все още са възможни с SSL. На теория би трябвало да е безопасно да се свържете с обществена Wi-Fi мрежа и да получите достъп до сайта на банката си. Знаете, че връзката е защитена, защото е над HTTPS, а връзката HTTPS също ви помага да потвърдите, че сте действително свързани с банката си.
На практика може да е опасно да се свържете с уебсайта на банката си чрез обществена Wi-Fi мрежа. Има готови решения, които могат да имат злонамерена гореща точка, да извършват атаки срещу хора, които се свързват с тях. Например, точка на достъп до Wi-Fi може да се свърже с банката от ваше име, изпращайки данни назад и напред и седейки по средата. Може да ви пренасочи към HTTP страница и да се свържете с банката с HTTPS от ваше име.
Може да се използва и адрес на HTTPS, подобен на хомографията. Това е адрес, който изглежда идентичен на екрана на банката ви, но всъщност използва специални Unicode знаци, за да е различен. Този последен и най-страшен тип атака е известен като интернационализирана хомографска атака с име на домейн. Прегледайте набора от знаци на Unicode и ще намерите знаци, които изглеждат идентични с 26 знака, използвани в латиницата. Може би o на's в google.com, с който сте свързани, всъщност не са о, но са други символи.
Ние разгледахме това по-подробно, когато разгледахме опасностите от използването на публична Wi-Fi hotspot.
Разбира се, HTTPS работи добре през повечето време. Малко вероятно е да срещнете такава умна атака "човек-в-средата", когато посетите кафене и се свържете с Wi-Fi. Истинската е, че HTTPS има някои сериозни проблеми. Повечето хора го уповават и не са наясно с тези проблеми, но не е перфектно.
