Android

Problemer med HTTPS og SSL folk snakker ikke om

Transport Layer Security (TLS) - Computerphile

Transport Layer Security (TLS) - Computerphile

Innholdsfortegnelse:

Anonim

HTTPS og SSL er protokollene som brukes til å sikre Internett. Faktisk bruker HTTPS SSL for å få ting gjort. Hele ideen med disse protokollene er å sørge for at ingen kan avlyse viktige data som reiser over nettet. Men ting er ikke slik de virker, for SSL er i sannhet en forvirring.

Ikke få det vridd, for det betyr ikke at SSL- og HTTPS-krypteringene er ubrukelige for brukere på nettet. De har sine problemer, men begge er mye bedre enn HTTP på alle mulige måter.

Problemer med HTTPS og SSL

La oss peke på noen problemer med HTTPS og SSL

Mann i mellomangrepene

For noe merkelig grunn, Man i Midtøsten angrep er fortsatt mulig med SSL. Konseptet er enkelt; Brukerne skal kunne koble seg til deres banks nettsted via offentlig Wi-Fi fordi forbindelsen er sikker, fremover må angriperne ikke finne midler til å gå gjennom.

Et angrep gjennom dette skjemaet kan omdirigere brukeren til en HTTP-nettside som ligner en sikret, og derfra ville angriperne ha terminaler opprettet i håp om å stjele verdifull informasjon.

For mange sertifikatmyndigheter

Din nettleser har en liste over sertifikatmyndigheter innebygd. Alle nettlesere stoler bare på sertifikater utstedt av de innebygde. Skulle brukerne besøke et nettsted som er sikret ved hjelp av SSL, vil det utstede et sertifikat, og nettleseren vil fortsette for å sjekke om nettstedet skal sikre at sertifikatet ble utformet for å komme fra den aktuelle siden.

Her er saken, fordi det er så mange sertifikatmyndigheter kan problemer med et enkelt sertifikat påvirke alle. Det er aldri bra, og så langt er det ikke mye webansvarlige kan gjøre med det.

Sertifikatmyndigheter utsteder falske sertifikater

Utrolig, falske sertifikater er der ute og forårsaker problemer for webbrukere. Og selv Google og andre selskaper har blitt byttet til det i det siste.

Regjeringen eller andre hadde muligheten til å bruke dette skurk sertifikatet for å etterligne den offisielle Google-siden, noe som ville gjøre det mulig å utføre en mann i Midtøsten-angrepet. I sitt forsvar hevdet ANSSI at sertifikatet ble opprettet for å spionere på egne brukere, og som sådan hadde den franske regjeringen ikke tilgang til det.

Noen sertifikater har rett og slett mislyktes i tider

Ifølge tidligere utførte studier, har noen sertifikatmyndigheter mislyktes når de leverer sertifikater. Dette betyr at enkelte nettsteder kanskje ikke krever et sertifikat, men myndigheten leverer det uansett. Hvis dette gjøres jevnlig, kan man bare vise hvilke andre feil det er gjort og blir fremdeles gjort.