To ne znači da su HTTPS i SSL enkripcija bezvrijedni jer su definitivno puno bolji od korištenja nekriptiranih HTTP veza. Čak iu najgorem slučaju, ugrožena HTTPS veza bit će samo kao nesigurna kao HTTP veza.
Shema broj ovlaštenih tijela za izdavanje certifikata
Vaš preglednik ima ugrađeni popis pouzdanih ovlaštenika certifikata. Preglednici vjeruju samo certifikatima koje izdaju ovlašteni certifikati. Ako ste posjetili https://example.com, web poslužitelj na example.com predstavio bi vam SSL certifikat, a preglednik bi provjerio da je certificirani SSL certifikat web stranice izdan za example.com od strane pouzdane ovlasti certifikata. Ako je certifikat izdan za drugu domenu ili ako ga nije izdalo pouzdano tijelo za certifikat, vidjet ćete ozbiljno upozorenje u pregledniku.
Jedan od glavnih problema je taj što postoji toliko ovlaštenja za certifikaciju, tako da problemi s jednim ovlaštenim certifikatom mogu utjecati na sve. Na primjer, možda ćete dobiti SSL certifikat za svoju domenu iz VeriSign-a, no netko bi mogao ugroziti ili izigrati drugu autoritet certifikaciju i dobiti certifikat za svoju domenu.
Tijela certifikata nisu uvijek potaknuli povjerenje
Istraživanja su otkrila da neke od ovlaštenih tijela za certifikaciju nisu uradile čak i minimalnu dubinsku analizu prilikom izdavanja certifikata. Izdali su SSL certifikate za vrste adresa koje nikada ne bi trebale zahtijevati certifikat, kao što je "localhost", što uvijek predstavlja lokalno računalo. U 2011. godini EFF je pronašao više od 2000 certifikata za "localhost" izdane od strane legitimnih, pouzdanih ovlaštenika certifikata.
Ako su pouzdani ovlašteni certifikati izdali toliko certifikata bez potvrde da su adrese uopće valjane, to je prirodno samo zapitati koje su druge pogreške napravili. Možda su i napadačima izdali neovlaštene certifikate za web stranice drugih ljudi.
Potvrde o proširenoj provjeri valjanosti ili certifikati EV pokušavaju riješiti ovaj problem. Obuhvaćali smo probleme s SSL certifikatima i kako ih EV certifikat pokušava riješiti.
Tijela certifikata mogla bi se morati izdati lažnim certifikatima
Budući da postoji toliko ovlaštenja za izdavanje potvrda, oni su diljem svijeta, a svaka nadležna ustanova za izdavanje certifikata može izdati certifikat za bilo koju web stranicu, vlade bi mogle prisiliti ovlaštene osobe da izdaju SSL certifikat za web mjesto koje žele lažno predstavljati.
To se vjerojatno dogodilo nedavno u Francuskoj, gdje je Google otkrio certifikat skitnica za google.com koji je izdala francuska agencija za izdavanje certifikata ANSSI. Tijelo bi dopustilo da francuska vlada ili netko tko ga drugi ima za lažno predstavljanje Googleove web stranice, lako obavlja napade na čovjeka u sredini. ANSSI je tvrdio da je certifikat korišten samo na privatnoj mreži kako bi se skočio na vlastite korisnike mreže, a ne francuska vlada. Čak i ako je to istina, to bi bila kršenje vlastitih pravila ANSSI-a prilikom izdavanja potvrda.
Savršena prednja tajna se ne koristi svugdje
Mnoge web-lokacije ne upotrebljavaju "savršenu tajnu budućnosti", tehniku koja bi šifriranje otežalo probiti. Bez savršene tajne naprijed, napadač može uhvatiti veliku količinu šifriranih podataka i dekriptirati ih sve jednim tajnim ključem. Znamo da NSA i ostale državne sigurnosne agencije diljem svijeta bilježe ove podatke. Ako otkriju ključ za šifriranje koji web site koristi kasnije godina, mogu je koristiti za dekriptiranje svih šifriranih podataka koje su prikupili između te web stranice i svima koji su povezani s njom.
Savršena tajnost naprijed pomaže u zaštiti od toga generiranjem jedinstvenog ključa za svaku sesiju. Drugim riječima, svaka sesija šifrirana je različitim tajnim ključem pa ih ne može sve otključati s jednim ključem. To sprječava netko od istovremenog dešifriranja ogromne količine šifriranih podataka. Budući da vrlo malo web stranica koristi ovu sigurnosnu značajku, vjerojatnije je da bi agencije državne sigurnosti mogle dešifrirati sve te podatke u budućnosti.
Čovjek u srednjim napadima i Unicode likovima
Nažalost, SSL-ovi još uvijek mogu biti napadi na čovjeka u sredini. Teoretski, trebalo bi biti sigurno povezivanje s javnom Wi-Fi mrežom i pristupanje web-lokaciji banke. Znaš da je veza sigurna jer prelazi HTTPS, a HTTPS veza također pomaže da provjerite jeste li zapravo povezani s bankom.
U praksi bi moglo biti opasno povezivanje s web-lokacijom vaše banke na javnoj Wi-Fi mreži. Postoje rješenja koja mogu imati zlonamjernu točku na kojoj se nalaze napadači koji se povezuju s njim. Na primjer, Wi-Fi hotspot može se povezati s bankom u vaše ime, slati podatke natrag i naprijed i sjediti u sredini. Moglo bi vas sneakily preusmjeriti na HTTP stranicu i povezati se s bankom s HTTPS-om u vaše ime.
Moglo bi također upotrijebiti "homogenu sličnu HTTPS adresu". To je adresa koja izgleda identična vašoj banci na zaslonu, ali koja zapravo koristi posebne Unicode znakove tako da je drugačija. Ova posljednja i najstrašnija vrsta napada poznata je kao internacionalizirani napad homograma domene. Pregledajte Unicode skup znakova i naći ćete znakove koji izgledaju u osnovi identični s 26 znakova koji se koriste u latiničnoj abecedi. Možda o o u google.com s kojom ste povezani zapravo nisu o, ali su drugi znakovi.
To smo detaljnije obradili kad smo pogledali opasnosti korištenja javne Wi-Fi žarišne točke.
Naravno, HTTPS radi uglavnom većinu vremena. Malo je vjerojatno da ćete se susresti s takvim pametnim napadom čovjeka u sredini kada posjetite kafić i povežete se s Wi-Fi mrežom. Prava stvar je da HTTPS ima neke ozbiljne probleme. Većina ljudi to vjeruje i nisu svjesni tih problema, ali uopće nije savršena.