loader

5 Schwerwiegende Probleme mit HTTPS und SSL-Sicherheit im Web

Anonim

HTTPS, das SSL verwendet, bietet Identitätsüberprüfung und Sicherheit, sodass Sie wissen, dass Sie mit der richtigen Website verbunden sind und niemand Sie belauschen kann. Das ist sowieso die Theorie. In der Praxis ist SSL im Web eine Art Chaos.

Dies bedeutet nicht, dass die HTTPS- und SSL-Verschlüsselung wertlos ist, da sie definitiv besser sind als die Verwendung unverschlüsselter HTTP-Verbindungen. Selbst im schlimmsten Fall ist eine kompromittierte HTTPS-Verbindung nur so unsicher wie eine HTTP-Verbindung.

Die bloße Anzahl der Zertifizierungsstellen

Ihr Browser verfügt über eine integrierte Liste vertrauenswürdiger Zertifizierungsstellen. Browser vertrauen nur den von diesen Zertifizierungsstellen ausgestellten Zertifikaten. Wenn Sie //example.com besuchen, stellt Ihnen der Webserver bei example.com ein SSL-Zertifikat zur Verfügung, und Ihr Browser überprüft, ob das SSL-Zertifikat der Website für eine Website von example.com von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Wenn das Zertifikat für eine andere Domäne ausgestellt wurde oder nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, wird in Ihrem Browser eine schwerwiegende Warnung angezeigt.

Ein Hauptproblem ist, dass es so viele Zertifizierungsstellen gibt, dass Probleme mit einer Zertifizierungsstelle alle betreffen können. Sie können beispielsweise ein SSL-Zertifikat für Ihre Domain von VeriSign erhalten, aber jemand könnte eine andere Zertifizierungsstelle kompromittieren oder ausweichen, um auch ein Zertifikat für Ihre Domain zu erhalten.

Zertifizierungsstellen haben nicht immer Vertrauen geschaffen

Studien haben gezeigt, dass einige Zertifizierungsstellen bei der Ausstellung von Zertifikaten nicht einmal eine minimale Due Diligence durchgeführt haben. Sie haben SSL-Zertifikate für Adresstypen ausgestellt, für die niemals ein Zertifikat erforderlich sein sollte, z. B. "localhost", der immer den lokalen Computer darstellt. Im Jahr 2011 hat der EFF mehr als 2000 Zertifikate für „localhost“ gefunden, die von legitimen, vertrauenswürdigen Zertifizierungsstellen ausgestellt wurden.

Wenn vertrauenswürdige Zertifizierungsstellen so viele Zertifikate ausgestellt haben, ohne zu prüfen, ob die Adressen überhaupt gültig sind, ist es nur natürlich, sich zu fragen, welche anderen Fehler sie gemacht haben. Möglicherweise haben sie auch unbefugte Zertifikate für die Websites anderer Personen für Angreifer ausgestellt.

Extended Validation-Zertifikate oder EV-Zertifikate versuchen, dieses Problem zu lösen. Wir haben die Probleme mit SSL-Zertifikaten behandelt und wie EV-Zertifikate versuchen, sie zu lösen.

Zertifizierungsstellen könnten dazu gezwungen werden, gefälschte Zertifikate auszustellen

Da es so viele Zertifizierungsstellen gibt, sind sie auf der ganzen Welt und jede Zertifizierungsstelle kann ein Zertifikat für jede Website ausstellen. Die Regierungen könnten die Zertifizierungsstellen dazu verpflichten, ein SSL-Zertifikat für eine Site auszustellen, die sie als Person ausgeben möchten.

Dies ist wahrscheinlich vor kurzem in Frankreich der Fall, als Google entdeckte, dass ein von Google ausgehändigtes Zertifikat für google.com von der französischen Zertifizierungsstelle ANSSI ausgestellt wurde. Die Behörde hätte der französischen Regierung oder wer auch immer die Möglichkeit gehabt, sich als Googles Website auszugeben und Man-in-the-Middle-Angriffe durchzuführen. ANSSI behauptete, das Zertifikat sei nur in einem privaten Netzwerk verwendet worden, um die eigenen Benutzer des Netzwerks zu nutzen, nicht von der französischen Regierung. Selbst wenn dies zutrifft, würde dies bei der Ausstellung von Zertifikaten einen Verstoß gegen die eigenen Richtlinien von ANSSI darstellen.

Perfekte Forward Secrecy wird nicht überall eingesetzt

Viele Websites verwenden kein "Perfect Forward Secrecy", eine Technik, die die Verschlüsselung der Verschlüsselung erschweren würde. Ohne perfekte Geheimhaltung kann ein Angreifer eine große Menge verschlüsselter Daten erfassen und sie mit einem einzigen geheimen Schlüssel entschlüsseln. Wir wissen, dass die NSA und andere staatliche Sicherheitsbehörden auf der ganzen Welt diese Daten erfassen. Wenn sie den von einer Website verwendeten Verschlüsselungsschlüssel nach Jahren entdecken, können sie damit alle verschlüsselten Daten entschlüsseln, die zwischen dieser Website und allen, die mit der Website verbunden sind, erfasst wurden.

Ein perfektes Vorwärtsgeheimnis schützt Sie dagegen, indem Sie für jede Sitzung einen eindeutigen Schlüssel generiert. Mit anderen Worten, jede Sitzung wird mit einem anderen geheimen Schlüssel verschlüsselt, sodass sie nicht alle mit einem einzigen Schlüssel entsperrt werden können. Dies verhindert, dass jemand eine riesige Menge verschlüsselter Daten auf einmal entschlüsselt. Da nur sehr wenige Websites diese Sicherheitsfunktion verwenden, ist es wahrscheinlicher, dass staatliche Sicherheitsbehörden all diese Daten in Zukunft entschlüsseln könnten.

Man in the Middle Attacks und Unicode-Zeichen

Leider sind mit SSL Man-in-the-Middle-Angriffe immer noch möglich. Theoretisch sollte es sicher sein, eine Verbindung zu einem öffentlichen Wi-Fi-Netzwerk herzustellen und auf den Standort Ihrer Bank zuzugreifen. Sie wissen, dass die Verbindung sicher ist, weil sie über HTTPS läuft, und die HTTPS-Verbindung hilft Ihnen auch, zu überprüfen, ob Sie tatsächlich mit Ihrer Bank verbunden sind.

In der Praxis kann es gefährlich sein, über ein öffentliches Wi-Fi-Netzwerk eine Verbindung zur Website Ihrer Bank herzustellen. Es gibt Standardlösungen, durch die ein bösartiger Hotspot Man-in-the-Middle-Angriffe auf Benutzer ausführen kann, die eine Verbindung herstellen. Beispielsweise kann ein WLAN-Hotspot in Ihrem Auftrag eine Verbindung zur Bank herstellen, Daten hin und her senden und in der Mitte sitzen. Es könnte Sie hinterlistig auf eine HTTP-Seite umleiten und mit HTTPS in Ihrem Namen eine Verbindung zur Bank herstellen.

Es könnte auch eine „homographähnliche HTTPS-Adresse“ verwendet werden. Dies ist eine Adresse, die mit der Ihrer Bank auf dem Bildschirm identisch aussieht, die jedoch spezielle Unicode-Zeichen verwendet. Diese letzte und gruseligste Art des Angriffs ist als internationalisierter Domain-Name-Homograph-Angriff bekannt. Wenn Sie den Unicode-Zeichensatz untersuchen, werden Sie Zeichen finden, die im Wesentlichen identisch mit den 26 Buchstaben des lateinischen Alphabets sind. Vielleicht sind die O's auf google.com, mit denen Sie verbunden sind, eigentlich keine O's, sondern andere Charaktere.

Wir haben uns ausführlicher damit befasst, als wir uns mit den Gefahren eines öffentlichen WLAN-Hotspots befassten.


Natürlich funktioniert HTTPS die meiste Zeit gut. Es ist unwahrscheinlich, dass Sie auf solch einen cleveren Man-in-the-Middle-Angriff stoßen, wenn Sie ein Café besuchen und eine Verbindung zu ihrem WLAN herstellen. Der eigentliche Punkt ist, dass HTTPS einige ernsthafte Probleme hat. Die meisten Menschen vertrauen darauf und sind sich dieser Probleme nicht bewusst, aber es ist bei weitem nicht perfekt.

Tipp Der Redaktion