Điều này không có nghĩa là mã hóa HTTPS và SSL là vô giá trị, vì chúng chắc chắn tốt hơn nhiều so với việc sử dụng các kết nối HTTP không được mã hóa. Ngay cả trong trường hợp xấu nhất, kết nối HTTPS bị xâm phạm sẽ chỉ không an toàn như kết nối HTTP.
Số lượng tuyệt đối của tổ chức phát hành chứng chỉ
Trình duyệt của bạn có danh sách các cơ quan cấp chứng chỉ đáng tin cậy được tích hợp sẵn. Trình duyệt chỉ tin cậy các chứng chỉ được cấp bởi các tổ chức phát hành chứng chỉ này. Nếu bạn đã truy cập https://example.com, máy chủ web tại example.com sẽ trình bày chứng chỉ SSL cho bạn và trình duyệt của bạn sẽ kiểm tra để đảm bảo rằng chứng chỉ SSL của trang web được cấp bởi example.com bởi cơ quan cấp chứng chỉ đáng tin cậy. Nếu chứng chỉ được cấp cho một tên miền khác hoặc nếu chứng chỉ không được cấp bởi tổ chức phát hành chứng chỉ tin cậy, bạn sẽ thấy cảnh báo nghiêm trọng trong trình duyệt của mình.
Một vấn đề lớn là có rất nhiều cơ quan cấp chứng chỉ, do đó, vấn đề với một cơ quan cấp chứng chỉ có thể ảnh hưởng đến tất cả mọi người. Ví dụ: bạn có thể nhận được chứng chỉ SSL cho miền của mình từ VeriSign, nhưng ai đó có thể thỏa hiệp hoặc lừa một tổ chức phát hành chứng chỉ khác và cũng nhận được chứng chỉ cho miền của bạn.
Tổ chức phát hành chứng chỉ không phải lúc nào cũng lấy cảm hứng từ niềm tin
Các nghiên cứu đã phát hiện ra rằng một số cơ quan cấp chứng chỉ đã không thực hiện được sự thẩm định tối thiểu khi cấp chứng chỉ. Họ đã phát hành chứng chỉ SSL cho các loại địa chỉ không bao giờ yêu cầu chứng chỉ, chẳng hạn như "localhost", luôn đại diện cho máy tính cục bộ. Trong năm 2011, EFF đã tìm thấy hơn 2000 chứng chỉ cho “localhost” được cấp bởi các cơ quan chứng nhận đáng tin cậy, hợp pháp.
Nếu cơ quan cấp chứng chỉ tin cậy đã cấp nhiều chứng chỉ như vậy mà không xác minh rằng địa chỉ thậm chí còn hợp lệ ở địa điểm đầu tiên, bạn sẽ tự hỏi mình đã mắc sai lầm nào khác. Có lẽ họ cũng đã cấp giấy chứng nhận trái phép cho trang web của người khác cho những kẻ tấn công.
Chứng chỉ xác thực mở rộng hoặc chứng chỉ EV, cố gắng giải quyết vấn đề này. Chúng tôi đã đề cập đến các vấn đề với chứng chỉ SSL và cách chứng chỉ EV cố gắng giải quyết chúng.
Tổ chức phát hành chứng chỉ có thể bị buộc phải cấp chứng chỉ giả
Vì có rất nhiều cơ quan cấp chứng chỉ, tất cả họ trên khắp thế giới và bất kỳ tổ chức phát hành chứng chỉ nào có thể cấp chứng chỉ cho bất kỳ trang web nào, chính phủ có thể buộc các tổ chức phát hành chứng chỉ cấp chứng chỉ SSL cho trang web họ muốn mạo danh.
Điều này có thể xảy ra gần đây ở Pháp, nơi Google phát hiện ra một chứng chỉ giả mạo cho google.com đã được cấp bởi tổ chức chứng nhận ANSSI của Pháp. Chính quyền sẽ cho phép chính phủ Pháp hoặc bất kỳ ai khác có thể mạo danh trang web của Google, dễ dàng thực hiện các cuộc tấn công trung gian. ANSSI đã xác nhận rằng chứng chỉ này chỉ được sử dụng trên một mạng riêng để tìm kiếm người dùng của riêng mạng chứ không phải bởi chính phủ Pháp. Ngay cả khi điều này là đúng, nó sẽ vi phạm chính sách riêng của ANSSI khi cấp chứng chỉ.
Tiền bảo mật hoàn hảo không được sử dụng ở mọi nơi
Nhiều trang web không sử dụng "bảo mật chuyển tiếp hoàn hảo", một kỹ thuật khiến mã hóa khó crack hơn. Nếu không có bí mật chuyển tiếp hoàn hảo, kẻ tấn công có thể nắm bắt một lượng lớn dữ liệu được mã hóa và giải mã tất cả bằng một khóa bí mật duy nhất. Chúng tôi biết rằng NSA và các cơ quan an ninh quốc gia khác trên khắp thế giới đang thu thập dữ liệu này. Nếu họ phát hiện ra khóa mã hóa được một trang web sử dụng sau này, họ có thể sử dụng khóa đó để giải mã tất cả dữ liệu được mã hóa mà họ đã thu thập được giữa trang web đó và tất cả những người đã kết nối với nó.
Bí mật hoàn hảo về phía trước giúp bảo vệ chống lại điều này bằng cách tạo ra một khóa duy nhất cho mỗi phiên. Nói cách khác, mỗi phiên được mã hóa bằng một khóa bí mật khác, vì vậy chúng không thể mở khóa bằng một khóa duy nhất. Điều này ngăn không cho ai đó giải mã một lượng lớn dữ liệu được mã hóa cùng một lúc. Do rất ít trang web sử dụng tính năng bảo mật này, nhiều khả năng các cơ quan an ninh quốc gia có thể giải mã tất cả dữ liệu này trong tương lai.
Người đàn ông trong cuộc tấn công trung và ký tự Unicode
Đáng buồn thay, các cuộc tấn công trung gian vẫn có thể xảy ra với SSL. Về lý thuyết, sẽ an toàn khi kết nối với mạng Wi-Fi công khai và truy cập trang web của ngân hàng của bạn. Bạn biết rằng kết nối này an toàn vì kết nối qua HTTPS và kết nối HTTPS cũng giúp bạn xác minh rằng bạn đang thực sự kết nối với ngân hàng của mình.
Trong thực tế, có thể nguy hiểm khi kết nối với trang web của ngân hàng của bạn trên mạng Wi-Fi công cộng. Có những giải pháp có sẵn có thể có một điểm phát sóng độc hại thực hiện các cuộc tấn công giữa người với những người kết nối với nó. Ví dụ: một điểm phát sóng Wi-Fi có thể kết nối với ngân hàng nhân danh bạn, gửi dữ liệu qua lại và ngồi ở giữa. Nó có thể lén lút chuyển hướng bạn đến một trang HTTP và kết nối với ngân hàng với HTTPS nhân danh bạn.
Nó cũng có thể sử dụng "địa chỉ HTTPS tương tự như bản sao." Đây là một địa chỉ giống hệt với ngân hàng của bạn trên màn hình, nhưng thực tế sử dụng các ký tự Unicode đặc biệt để nó khác nhau. Loại tấn công cuối cùng và đáng sợ nhất này được gọi là cuộc tấn công homograph tên miền quốc tế. Kiểm tra bộ ký tự Unicode và bạn sẽ tìm thấy các ký tự trông giống hệt với 26 ký tự được sử dụng trong bảng chữ cái Latinh. Có thể là o trong google.com bạn đang kết nối với thực tế không phải của, nhưng là các ký tự khác.
Chúng tôi đã trình bày chi tiết hơn khi chúng tôi xem xét các mối nguy hiểm khi sử dụng điểm truy cập Wi-Fi công cộng.
Tất nhiên, HTTPS hoạt động tốt hầu hết thời gian. Có khả năng bạn sẽ không gặp phải một cuộc tấn công thông minh giữa người như vậy khi bạn ghé thăm một quán cà phê và kết nối với Wi-Fi của họ. Điểm thực là HTTPS có một số vấn đề nghiêm trọng. Hầu hết mọi người tin tưởng nó và không nhận thức được những vấn đề này, nhưng nó không gần như hoàn hảo.
