5 Ernstige problemen met HTTPS- en SSL-beveiliging op het web

Inhoudsopgave:

5 Ernstige problemen met HTTPS- en SSL-beveiliging op het web
5 Ernstige problemen met HTTPS- en SSL-beveiliging op het web
Anonim

Certificaatautoriteiten hebben niet altijd vertrouwen gewekt

Studies hebben uitgewezen dat sommige certificeringsinstanties er niet in zijn geslaagd om zelfs maar minimale zorgvuldigheid te betrachten bij het uitgeven van certificaten. Ze hebben SSL-certificaten uitgegeven voor typen adressen waarvoor nooit een certificaat nodig is, zoals 'localhost', dat altijd de lokale computer vertegenwoordigt. In 2011 vond de EFF meer dan 2000 certificaten voor "localhost" die waren uitgegeven door legitieme, vertrouwde certificaatautoriteiten.

Als vertrouwde certificeringsinstanties zoveel certificaten hebben uitgegeven zonder te controleren of de adressen ook maar geldig zijn, is het niet meer dan normaal om je af te vragen welke fouten ze nog meer hebben gemaakt. Misschien hebben ze ook ongeautoriseerde certificaten voor de websites van andere mensen aan aanvallers uitgegeven.

Extended Validation-certificaten, of EV-certificaten, proberen dit probleem op te lossen. We hebben de problemen met SSL-certificaten besproken en hoe EV-certificaten deze proberen op te lossen.

Afbeelding
Afbeelding

Certificaatautoriteiten kunnen worden gedwongen om valse certificaten uit te geven

Omdat er zoveel certificeringsinstanties zijn, ze zijn over de hele wereld, en elke certificeringsinstantie kan een certificaat afgeven voor elke website, overheden kunnen certificeringsinstanties dwingen hen een SSL-certificaat af te geven voor een site die ze willen imiteren.

Dit is waarschijnlijk onlangs gebeurd in Frankrijk, waar Google ontdekte dat een frauduleus certificaat voor google.com was uitgegeven door de Franse certificeringsinstantie ANSSI. De autoriteit zou de Franse regering of wie dan ook toestemming hebben gegeven om zich voor te doen als de website van Google en gemakkelijk man-in-the-middle-aanvallen uit te voeren. ANSSI beweerde dat het certificaat alleen werd gebruikt op een particulier netwerk om te snuffelen in de eigen gebruikers van het netwerk, niet door de Franse overheid. Zelfs als dit waar zou zijn, zou het een schending zijn van het eigen beleid van ANSSI bij het uitgeven van certificaten.

Afbeelding
Afbeelding

Perfect Forward Secrecy wordt niet overal gebruikt

Veel sites maken geen gebruik van "perfect forward secrecy", een techniek die het moeilijker zou maken om encryptie te kraken. Zonder perfecte voorwaartse geheimhouding kan een aanvaller een grote hoeveelheid versleutelde gegevens vastleggen en deze allemaal ontsleutelen met een enkele geheime sleutel. We weten dat de NSA en andere staatsveiligheidsdiensten over de hele wereld deze gegevens vastleggen. Als ze jaren later de coderingssleutel ontdekken die door een website wordt gebruikt, kunnen ze deze gebruiken om alle gecodeerde gegevens te decoderen die ze hebben verzameld tussen die website en iedereen die ermee is verbonden.

Perfecte voorwaartse geheimhouding helpt hiertegen te beschermen door voor elke sessie een unieke sleutel te genereren. Met andere woorden, elke sessie is versleuteld met een andere geheime sleutel, dus ze kunnen niet allemaal worden ontgrendeld met een enkele sleutel. Dit voorkomt dat iemand een enorme hoeveelheid versleutelde gegevens in één keer ontsleutelt. Omdat maar heel weinig websites deze beveiligingsfunctie gebruiken, is de kans groter dat veiligheidsinstanties van de staat in de toekomst al deze gegevens kunnen ontsleutelen.

Man in The Middle-aanvallen en Unicode-tekens

Helaas zijn man-in-the-middle-aanvallen nog steeds mogelijk met SSL. In theorie zou het veilig moeten zijn om verbinding te maken met een openbaar wifi-netwerk en toegang te krijgen tot de site van uw bank. U weet dat de verbinding veilig is omdat deze over HTTPS gaat, en de HTTPS-verbinding helpt u ook te controleren of u daadwerkelijk bent verbonden met uw bank.

In de praktijk kan het gevaarlijk zijn om verbinding te maken met de website van uw bank via een openbaar wifi-netwerk. Er zijn kant-en-klare oplossingen waarmee een kwaadwillende hotspot man-in-the-middle-aanvallen kan uitvoeren op mensen die er verbinding mee maken. Een wifi-hotspot kan bijvoorbeeld namens u verbinding maken met de bank, gegevens heen en weer verzenden en in het midden zitten. Het kan u stiekem omleiden naar een HTTP-pagina en namens u verbinding maken met de bank met

Het kan ook een "homograaf-vergelijkbaar HTTPS-adres" gebruiken. Dit is een adres dat er op het scherm identiek uitziet als dat van uw bank, maar dat in werkelijkheid speciale Unicode-tekens gebruikt, dus het is anders. Dit laatste en meest angstaanjagende type aanval staat bekend als een geïnternationaliseerde domeinnaam homograaf aanval. Bestudeer de Unicode-tekenset en je zult tekens vinden die er in principe identiek uitzien aan de 26 tekens die in het Latijnse alfabet worden gebruikt. Misschien zijn de o's op google.com waarmee je bent verbonden eigenlijk geen o's, maar zijn het andere tekens.

We hebben dit in meer detail besproken toen we keken naar de gevaren van het gebruik van een openbare wifi-hotspot.

Afbeelding
Afbeelding

Natuurlijk werkt HTTPS meestal prima. Het is onwaarschijnlijk dat je zo'n slimme man-in-the-middle-aanval tegenkomt wanneer je een coffeeshop bezoekt en verbinding maakt met hun wifi. Het echte punt is dat HTTPS enkele serieuze problemen heeft. De meeste mensen vertrouwen het en zijn zich niet bewust van deze problemen, maar het is lang niet perfect.

Populair onderwerp

Aanbevolen

Hoe de Internet Explorer-modus in Edge te gebruiken
2023

Hoe de Internet Explorer-modus in Edge te gebruiken

Wat is soundcheck op iPhone en hoe gebruik je het?
2023

Wat is soundcheck op iPhone en hoe gebruik je het?

Hoe tekst te omcirkelen in Microsoft Word
2023

Hoe tekst te omcirkelen in Microsoft Word

Nieuwe versus gebruikte smartphones kopen: wat is de goedkopere optie?
2023

Nieuwe versus gebruikte smartphones kopen: wat is de goedkopere optie?

Bespioneren uw Smarthome-apparaten u?
2023

Bespioneren uw Smarthome-apparaten u?

Nee, Google laat apps niet alleen je e-mail lezen
2023

Nee, Google laat apps niet alleen je e-mail lezen

Hoe maak je goede YouTube-video's
2023

Hoe maak je goede YouTube-video's

Wat is DSLR Crop Factor (en waarom zou ik erom geven)
2023

Wat is DSLR Crop Factor (en waarom zou ik erom geven)

Waar dient de vermeldingskolom voor in Microsoft Outlook?
2023

Waar dient de vermeldingskolom voor in Microsoft Outlook?

Hoe u kunt voorkomen dat iemand een vergaderverzoek doorstuurt in Outlook
2023

Hoe u kunt voorkomen dat iemand een vergaderverzoek doorstuurt in Outlook

Google blijft ChromeOS en Android dichter bij elkaar brengen
2023

Google blijft ChromeOS en Android dichter bij elkaar brengen

Hoe tekst in een vorm toe te voegen en op te maken in Microsoft Word
2023

Hoe tekst in een vorm toe te voegen en op te maken in Microsoft Word

Wat zijn de meest voordelige Smarthome-apparaten om te bezitten?
2023

Wat zijn de meest voordelige Smarthome-apparaten om te bezitten?

Wat is een LIT-bestand (en hoe open ik er een)?
2023

Wat is een LIT-bestand (en hoe open ik er een)?

De beste gratis websites voor het hosten van afbeeldingen
2023

De beste gratis websites voor het hosten van afbeeldingen

Hoe u alle alarmen op uw iPhone kunt verwijderen of uitschakelen
2023

Hoe u alle alarmen op uw iPhone kunt verwijderen of uitschakelen

Wat voor soort slimme lampen moet je kopen?
2023

Wat voor soort slimme lampen moet je kopen?

Android zo veilig mogelijk maken
2023

Android zo veilig mogelijk maken