problemes-amb-https-i-ssl-encriptació

HTTPS, que utilitza SSL, proporciona seguretat i verificació de la identitat, de manera que sap que estàs connectat amb el lloc web correcte i ningú no podrà escoltar-lo. Aquesta és la teoria, de totes maneres. A la pràctica, SSL al web és una mena de desastre.

Això no significa que el xifratge HTTPS i SSL no tingui cap valor, ja que és molt millor que utilitzar connexions HTTP no xifrades. Inclús en el pitjor dels casos, una connexió HTTPS tan compromesa només serà tan insegura com una connexió HTTP.

El nombre exclusiu d’autoritats de certificats

RELACIONAT: Què és HTTPS i per què hauria de tenir compte?

El vostre navegador té una llista integrada d’autoritats de certificat de confiança. Els navegadors només tenen certificats de confiança emesos per aquestes autoritats de certificat. Si visiteu https://example.com, el servidor web exemple.com us presentaria un certificat SSL i el vostre navegador comprovaria que el certificat SSL del lloc web fos emès per exemple.com per una autoritat de certificat de confiança. Si el certificat es va emetre per a un altre domini o si no l'havia emès per una autoritat de certificat de confiança, veuríeu un avís greu al vostre navegador.

Un dels principals problemes és que hi ha tantes autoritats de certificats, de manera que els problemes amb una autoritat de certificat poden afectar tothom. Per exemple, podeu obtenir un certificat SSL per al vostre domini de VeriSign, però algú podria comprometre o enganyar una altra autoritat de certificat i obtenir un certificat també per al vostre domini.

autoritats de certificació d’arrel de confiança

Les autoritats del certificat no sempre han inspirat la confiança

RELACIONATS: Com els navegadors verifiquen les identitats del lloc web i es protegeixen contra els usuaris que s’instal·len

Els estudis han constatat que algunes autoritats de certificats no han aconseguit fer la diligència deguda mínima a l'hora d'emetre certificats. Han emès certificats SSL per a tipus d’adreces que mai no han de requerir un certificat, com ara “localhost”, que sempre representa l’ordinador local. El 2011, el FEP va trobar més de 2000 certificats de "localhost" emesos per autoritats legítimes de confiança legítimes.

Si les autoritats de certificats de confiança han emès tants certificats sense verificar que les adreces siguin vàlides en primer lloc, només és natural preguntar-nos quins altres errors han comès. Potser també han publicat certificats no autoritzats als llocs web d’altres persones atacants.

Els certificats de validació estesa o certificats EV intenten solucionar aquest problema. Hem tractat els problemes amb els certificats SSL i com intenten resoldre'ls els certificats EV.

Les autoritats del certificat podrien estar obligades a emetre certificats falsos

Com que hi ha tantes autoritats de certificats, són arreu del món i qualsevol autoritat de certificat pot emetre un certificat per a qualsevol lloc web, els governs podrien obligar les autoritats de certificats a emetre’ls un certificat SSL per a un lloc que volen suplir.

Probablement això va succeir recentment a França, on Google va descobrir un certificat per a google.com que havia estat emès per l’autoritat de certificat francesa ANSSI. L'autoritat hauria permès al govern francès o a qualsevol que ho tingués de suplantar al lloc web de Google, realitzant fàcilment atacs de mà al mig. L’ANSSI va afirmar que el certificat només s’utilitzava en una xarxa privada per tombar els propis usuaris de la xarxa, no pel govern francès. Tot i que això fos cert, es tractaria d’una vulneració de les polítiques pròpies d’ANSSI a l’hora d’emetre certificats.

google-anssi-rogue-certificate-france

El secret perfecte perfecte no s'utilitza arreu

Molts llocs no utilitzen el "secret perfecte endavant", una tècnica que faria més difícil de cremar el xifratge. Sense un secret de transmissió perfecte, un atacant podria capturar una gran quantitat de dades xifrades i xifrar-ho tot amb una única clau secreta. Sabem que l’AN i altres agències de seguretat de l’estat de tot el món estan captant aquestes dades. Si descobreixen la clau de xifratge utilitzada per un lloc web anys després, poden utilitzar-la per desxifrar totes les dades xifrades que han recollit entre aquest lloc web i tots els que hi hagi connectat.

El perfecte secret de transmissió ajuda a protegir-se generant una clau única per a cada sessió. És a dir, cada sessió es xifra amb una clau secreta diferent, de manera que no es poden desbloquejar totes amb una sola clau. Això impedeix que algú desxifri totes les dades xifrades alhora. Com que molt pocs llocs web utilitzen aquesta funció de seguretat, és més probable que les agències de seguretat de l’estat puguin desxifrar totes aquestes dades en el futur.

Home als atacs mitjans i personatges Unicode

RELACIONAT: Per què l’ús d’una xarxa Wi-Fi pública pot ser perillós, fins i tot quan s’accedeix a llocs web xifrats

Malauradament, encara són possibles atacs entremig de l’home amb SSL. En teoria, hauria de ser segur connectar-se a una xarxa Wi-Fi pública i accedir al lloc del banc. Sabeu que la connexió és segura perquè està sobre HTTPS i que la connexió HTTPS també us ajuda a verificar que esteu connectat al banc.

A la pràctica, pot ser perillós connectar-se al lloc web del banc sobre una xarxa Wi-Fi pública. Hi ha solucions fora de la prestació que poden tenir un hotspot maliciós per realitzar atacs de mà al mig contra persones que s’hi connecten. Per exemple, un punt d’accés Wi-Fi pot connectar-se al banc en nom vostre, enviant dades i tornades i assegut al centre. Es pot redirigir de manera sorprenent a una pàgina HTTP i connectar-vos al banc amb HTTPS en nom vostre.

També podria utilitzar una "adreça HTTPS similar a un homògraf". Aquesta és una adreça que es mostra idèntica a la del banc que es mostra a la pantalla, però que realment utilitza caràcters especials Unicode, per la qual cosa és diferent. Aquest últim i més espantós tipus d'atac es coneix com a atac homògraf internacionalitzat amb un nom de domini. Examineu el conjunt de caràcters Unicode i trobareu caràcters que semblen bàsicament idèntics als 26 caràcters utilitzats en l’alfabet llatí. Potser els que hi ha a google.com en què estàs connectat no ho són, però són altres personatges.

Vam tractar-ho amb més detall quan vam estudiar els perills que suposa l’ús d’un hotspot Wi-Fi públic.

idn-homògraf-atac

Per descomptat, HTTPS funciona bé la majoria del temps. És poc probable que trobareu un atac tan intel·ligent entre els homes quan visiteu una cafeteria i us connecteu a la connexió Wi-Fi. El veritable punt és que HTTPS té alguns problemes greus. La majoria de la gent confia en ella i no és conscient d’aquests problemes, però no és perfecta.

Crèdit d'imatge: Sarah Joy