โฮมเพจ » ทำอย่างไร » 5 ปัญหาที่ร้ายแรงเกี่ยวกับ HTTPS และความปลอดภัย SSL บนเว็บ

    5 ปัญหาที่ร้ายแรงเกี่ยวกับ HTTPS และความปลอดภัย SSL บนเว็บ

    HTTPS ซึ่งใช้ SSL ให้การตรวจสอบตัวตนและความปลอดภัยเพื่อให้คุณรู้ว่าคุณเชื่อมต่อกับเว็บไซต์ที่ถูกต้องและไม่มีใครดักฟังคุณได้ นั่นคือทฤษฎีอย่างไรก็ตาม ในทางปฏิบัติ SSL บนเว็บเป็นระเบียบ.

    นี่ไม่ได้หมายความว่าการเข้ารหัส HTTPS และ SSL ไม่มีค่าเพราะพวกเขาดีกว่าการใช้การเชื่อมต่อ HTTP ที่ไม่ได้เข้ารหัส แม้ในสถานการณ์กรณีที่เลวร้ายที่สุดการเชื่อมต่อ HTTPS ที่ถูกบุกรุกจะไม่ปลอดภัยเท่ากับการเชื่อมต่อ HTTP.

    จำนวนผู้ออกใบรับรองที่แท้จริง

    เบราว์เซอร์ของคุณมีรายการหน่วยงานออกใบรับรองที่เชื่อถือได้ในตัว เบราว์เซอร์เท่านั้นเชื่อถือใบรับรองที่ออกโดยหน่วยงานออกใบรับรองเหล่านี้ หากคุณเข้าชม https://example.com เว็บเซิร์ฟเวอร์ที่ example.com จะแสดงใบรับรอง SSL ให้กับคุณและเบราว์เซอร์ของคุณจะตรวจสอบเพื่อให้แน่ใจว่าใบรับรอง SSL ของเว็บไซต์นั้นออกให้กับ example.com โดยผู้ออกใบรับรองที่เชื่อถือได้ หากใบรับรองออกให้สำหรับโดเมนอื่นหรือหากไม่ได้ออกโดยหน่วยงานออกใบรับรองที่เชื่อถือได้คุณจะเห็นคำเตือนร้ายแรงในเบราว์เซอร์ของคุณ.

    ปัญหาสำคัญอย่างหนึ่งคือมีหน่วยงานออกใบรับรองจำนวนมากดังนั้นปัญหากับผู้ให้บริการออกใบรับรองหนึ่งคนอาจส่งผลกระทบต่อทุกคน ตัวอย่างเช่นคุณอาจได้รับใบรับรอง SSL สำหรับโดเมนของคุณจาก VeriSign แต่ใครบางคนสามารถประนีประนอมหรือหลอกลวงผู้มีสิทธิ์ออกใบรับรองอื่นและรับใบรับรองสำหรับโดเมนของคุณเช่นกัน.

    ผู้ออกใบรับรองยังไม่ได้รับแรงบันดาลใจความมั่นใจ

    การศึกษาพบว่าผู้ออกใบรับรองบางรายล้มเหลวเนื่องจากความขยันน้อยที่สุดเมื่อออกใบรับรอง พวกเขาได้ออกใบรับรอง SSL สำหรับประเภทของที่อยู่ที่ไม่ควรต้องมีใบรับรองเช่น“ localhost” ซึ่งจะแสดงคอมพิวเตอร์ในท้องที่เสมอ ในปี 2011 EFF พบใบรับรองมากกว่า 2,000 รายการสำหรับ“ localhost” ที่ออกโดยหน่วยงานออกใบรับรองที่เชื่อถือได้และถูกกฎหมาย.

    หากหน่วยงานออกใบรับรองที่เชื่อถือได้ออกใบรับรองจำนวนมากโดยไม่ตรวจสอบว่าที่อยู่นั้นถูกต้องตั้งแต่แรกก็เป็นเรื่องปกติที่จะสงสัยว่ามีข้อผิดพลาดอื่น ๆ เกิดขึ้นอีกหรือไม่ บางทีพวกเขายังได้ออกใบรับรองที่ไม่ได้รับอนุญาตสำหรับเว็บไซต์ของผู้อื่นต่อผู้โจมตี.

    ใบรับรองการตรวจสอบเพิ่มเติมหรือใบรับรอง EV พยายามแก้ไขปัญหานี้ เราได้ครอบคลุมถึงปัญหาเกี่ยวกับใบรับรอง SSL และความพยายามในการแก้ไขใบรับรอง EV.

    ผู้ออกใบรับรองอาจถูกบังคับให้ออกใบรับรองปลอม

    เนื่องจากมีผู้ออกใบรับรองจำนวนมากพวกเขาอยู่ทั่วโลกและผู้ออกใบรับรองใด ๆ สามารถออกใบรับรองสำหรับเว็บไซต์ใด ๆ รัฐบาลสามารถบังคับหน่วยงานออกใบรับรองให้ออกใบรับรอง SSL สำหรับไซต์ที่พวกเขาต้องการปลอมตัว.

    เรื่องนี้อาจเกิดขึ้นเมื่อเร็ว ๆ นี้ในฝรั่งเศสซึ่ง Google ค้นพบใบรับรองปลอมสำหรับ google.com ซึ่งออกโดยหน่วยงานออกใบรับรองของฝรั่งเศส ANSSI ผู้มีอำนาจจะอนุญาตให้รัฐบาลฝรั่งเศสหรือใครก็ตามที่มีเว็บไซต์ปลอมตัวเป็นของ Google ทำการโจมตีแบบคนกลางได้อย่างง่ายดาย ANSSI อ้างว่าใบรับรองนั้นใช้เฉพาะในเครือข่ายส่วนตัวเพื่อสอดแนมผู้ใช้ของเครือข่ายไม่ใช่โดยรัฐบาลฝรั่งเศส แม้ว่าสิ่งนี้จะเป็นจริง แต่ก็เป็นการละเมิดนโยบายของ ANSSI เมื่อออกใบรับรอง.

    ความลับของการส่งต่อที่สมบูรณ์แบบไม่ได้ถูกนำมาใช้ทุกที่

    เว็บไซต์จำนวนมากไม่ใช้ "การส่งต่อความลับที่สมบูรณ์แบบ" เทคนิคที่จะทำให้การเข้ารหัสยากที่จะถอดรหัส หากไม่มีการรักษาความลับส่งต่อที่สมบูรณ์แบบผู้โจมตีสามารถดักจับข้อมูลที่เข้ารหัสเป็นจำนวนมากและถอดรหัสข้อมูลทั้งหมดด้วยคีย์ลับเดียว เรารู้ว่า NSA และหน่วยงานความมั่นคงของรัฐอื่น ๆ ทั่วโลกกำลังจับข้อมูลนี้ หากพวกเขาค้นพบคีย์การเข้ารหัสที่ใช้โดยเว็บไซต์หลายปีต่อมาพวกเขาสามารถใช้เพื่อถอดรหัสข้อมูลที่เข้ารหัสทั้งหมดที่พวกเขาได้รวบรวมระหว่างเว็บไซต์นั้นและทุกคนที่เชื่อมต่อกับมัน.

    การรักษาความลับล่วงหน้าที่สมบูรณ์แบบช่วยป้องกันสิ่งนี้โดยการสร้างคีย์เฉพาะสำหรับแต่ละเซสชัน กล่าวอีกนัยหนึ่งแต่ละเซสชันจะถูกเข้ารหัสด้วยรหัสลับที่แตกต่างกันดังนั้นพวกเขาจึงไม่สามารถปลดล็อคได้ทั้งหมดด้วยปุ่มเดียว วิธีนี้จะป้องกันไม่ให้ใครบางคนถอดรหัสข้อมูลจำนวนมากที่เข้ารหัสได้พร้อมกัน เนื่องจากมีเว็บไซต์เพียงไม่กี่แห่งที่ใช้คุณสมบัติความปลอดภัยนี้มีแนวโน้มว่าหน่วยงานความปลอดภัยของรัฐจะสามารถถอดรหัสข้อมูลทั้งหมดนี้ได้ในอนาคต.

    ผู้ชายในการโจมตีกลางและอักขระ Unicode

    น่าเศร้าที่การโจมตีแบบ Man-in-the-middle ยังคงเป็นไปได้ด้วย SSL ในทางทฤษฎีแล้วควรจะปลอดภัยในการเชื่อมต่อกับเครือข่าย Wi-Fi สาธารณะและเข้าถึงเว็บไซต์ของธนาคารของคุณ คุณรู้ว่าการเชื่อมต่อนั้นปลอดภัยเพราะผ่าน HTTPS และการเชื่อมต่อ HTTPS ยังช่วยให้คุณตรวจสอบว่าคุณเชื่อมต่อกับธนาคารของคุณจริง.

    ในทางปฏิบัติอาจเป็นอันตรายได้หากเชื่อมต่อกับเว็บไซต์ธนาคารของคุณในเครือข่าย Wi-Fi สาธารณะ มีวิธีแก้ปัญหาแบบ off-the-shelf ที่สามารถมีฮอตสปอตที่เป็นอันตรายในการโจมตีคนที่อยู่ตรงกลางกับคนที่เชื่อมต่อกับมัน ตัวอย่างเช่น Wi-Fi ฮอตสปอตอาจเชื่อมต่อกับธนาคารในนามของคุณส่งข้อมูลไปมาและนั่งอยู่ตรงกลาง มันอาจเปลี่ยนเส้นทางคุณไปยังหน้า HTTP และเชื่อมต่อกับธนาคารด้วย HTTPS แทนคุณ.

    นอกจากนี้ยังสามารถใช้ "ที่อยู่ HTTPS ที่คล้ายกันในรูปแบบ homograph" นี่คือที่อยู่ที่ดูเหมือนกับธนาคารของคุณบนหน้าจอ แต่ที่จริงแล้วใช้อักขระ Unicode พิเศษดังนั้นจึงแตกต่างกัน การโจมตีครั้งสุดท้ายและน่ากลัวที่สุดนี้เป็นที่รู้จักกันในชื่อการจู่โจมชื่อโดเมนสากล ตรวจสอบชุดอักขระ Unicode และคุณจะพบอักขระที่มีลักษณะเหมือนกับอักขระ 26 ตัวที่ใช้ในอักษรละติน บางทีโอใน google.com ที่คุณเชื่อมต่อไม่ใช่ของจริง แต่เป็นอักขระอื่น.

    เราพูดถึงเรื่องนี้อย่างละเอียดมากขึ้นเมื่อเรามองถึงอันตรายของการใช้ฮอตสปอต Wi-Fi สาธารณะ.

    แน่นอน HTTPS ทำงานได้ดีเกือบตลอดเวลา ไม่น่าเป็นไปได้ที่คุณจะเจอกับการจู่โจมแบบแมนกลางคนที่ฉลาดเมื่อคุณเยี่ยมชมร้านกาแฟและเชื่อมต่อกับ Wi-Fi ประเด็นที่แท้จริงคือ HTTPS มีปัญหาร้ายแรง คนส่วนใหญ่ไว้วางใจและไม่ได้ตระหนักถึงปัญหาเหล่านี้ แต่ก็ไม่มีที่ใกล้สมบูรณ์แบบ.

    เครดิตรูปภาพ: Sarah Joy

    5 การตั้งค่าที่คุณควรแก้ไขบน Nest Hello
    5 ขั้นตอนเพื่อต่อสู้กับสแปม
    5 ตำนานผู้ปฏิบัติงานจากระยะไกลที่คุณต้องหยุดความเชื่อ
    บทความต่อไป
    5 บริการแปลงเว็บไซต์สำหรับอุปกรณ์พกพา
    บทความก่อนหน้า
    5 ความลับของการเป็นผู้ร่วมก่อตั้งสมควร