Web上のhttpsとsslセキュリティに関する5つの深刻な問題

SSLを使用するHTTPSは身元確認とセキュリティを提供するため、あなたは正しいウェブサイトに接続しており、誰もあなたを盗聴することはできません。それはとにかく理論です。実際には、Web上のSSLは混乱の種です。

これは、暗号化されていないHTTP接続を使用するよりはるかに優れているため、HTTPSとSSLの暗号化は意味がありません。最悪の場合でも、HTTPS接続は、HTTP接続と同じくらい安全ではありません。

ブラウザには、信頼できる認証局のリストが組み込まれています。ブラウザーは、これらの証明機関によって発行された証明書のみを信頼します。 https://example.comにアクセスした場合、example.comのWebサーバーはSSL証明書を提示し、ブラウザーは信頼できる認証局によってexample.comのWebサイトのSSL証明書が発行されたことを確認します。証明書が別のドメインに対して発行された場合、または信頼できる認証局から発行されていない場合は、ブラウザに重大な警告が表示されます。

1つの大きな問題は、非常に多くの認証局が存在するため、1つの認証局の問題が全員に影響を与える可能性があることです。たとえば、VeriSignからドメインのSSL証明書を取得する可能性がありますが、他の認証局を侵害したり騙したりして、ドメインの証明書を取得する可能性があります。

いくつかの認証局は、証明書を発行する際に最小限のデューデリジェンスさえも行なわなかったことが研究によって分かっています。彼らは、ローカルコンピュータを常に表す「localhost」など、証明書を必要としないタイプのアドレスに対してSSL証明書を発行しました。 2011年に、EFFは正当で信頼できる認証局によって発行された “localhost”の2000以上の証明書を発見しました。

信頼できる認証局が、最初にアドレスが有効であることを確認せずに非常に多くの証明書を発行した場合、他のどのような間違いが起きたのか疑問に思うのは当然です。おそらく、彼らはまた、他人のウェブサイトの不正な証明書を攻撃者に発行したこともあります。

Extended Validation証明書またはEV証明書は、この問題を解決しようとします。 SSL証明書の問題と、EV証明書がそれらを解決しようとする方法について説明しました。

非常に多くの認証局が存在するため、世界中のすべての認証局が任意のWebサイトの証明書を発行できます。政府は認証局に偽装したいサイトのSSL証明書を発行するよう強制できます。

これは最近、フランスの認証局ANSSIからgoogle.comの不正な証明書が発行されたことがGoogleによって発見されたフランスで発生した可能性があります。当局は、フランス政府や他の誰でもGoogleのウェブサイトを偽装して、中間者の攻撃を簡単に行うことを許可していただろう。 ANSSIは、この証明書は、フランス政府ではなく、ネットワーク上のユーザーを盗聴するためにプライベートネットワーク上でのみ使用されていると主張している。これが真実であっても、証明書を発行するときはANSSI独自のポリシーに違反します。

多くのサイトでは、暗号化をより困難にするテクニックである「完全な前方秘密」を使用していません。完全な転送秘密がなければ、攻撃者は大量の暗号化データをキャプチャし、すべてを単一の秘密鍵で復号化することができます。私たちは、世界中のNSAと他の州のセキュリティ機関がこのデータを取得していることを知っています。数年後にウェブサイトで使用されている暗号鍵を発見すると、そのウェブサイトとそれに接続しているすべての人との間で収集したすべての暗号化されたデータを解読することができます。

完璧な転送秘密は、セッションごとに一意の鍵を生成することによってこれを防ぐのに役立ちます。言い換えれば、各セッションは異なる秘密鍵で暗号化されているため、すべてを単一の鍵でロック解除することはできません。これにより、誰かが一度に大量の暗号化されたデータを解読するのを防ぐことができます。このセキュリティ機能を使用するウェブサイトはごくわずかなため、将来、州のセキュリティ機関がこのデータをすべて解読する可能性が高くなります。

悲しいことに、中間者の攻撃はまだSSLで可能です。理論的には、公衆Wi-Fiネットワークに接続し、銀行のサイトにアクセスすることは安全でなければなりません。接続はHTTPSを超えているため、接続が安全であることがわかります.HTTPS接続は、実際に銀行に接続していることを確認するのにも役立ちます。

実際には、公衆Wi-Fiネットワーク上の銀行のウェブサイトに接続することは危険です。悪意のあるホットスポットに接続可能な既製のソリューションがあり、接続している人に中間者による攻撃を実行することができます。たとえば、Wi-Fiホットスポットがあなたの代わりに銀行に接続し、データを前後に送信して中央に座っている可能性があります。 HTTPページにあなたをリダイレクトして、あなたの代わりにHTTPSで銀行に接続することができます。

また、 “ホモグラフのようなHTTPSアドレス”を使用することもできます。これは画面上の銀行と同じように見えるアドレスですが、実際には特殊なUnicode文字を使用するため異なるアドレスです。この最後の最も恐ろしいタイプの攻撃は、国際化ドメイン名ホモグラフ攻撃と呼ばれます。 Unicode文字セットを調べると、ラテンアルファベットで使用されている26文字と基本的に同じ文字が検索されます。おそらくあなたが接続しているgoogle.comのoは実際にはoではありませんが、他の文字です。

公共Wi-Fiホットスポットを使用する際の危険性を検討したところ、これについて詳しく説明しました。

もちろん、ほとんどの場合、HTTPSはうまく動作します。喫茶店を訪れてWi-Fiに接続すると、そのような賢明な人間攻撃に遭遇することはまずありません。実際のところ、HTTPSには重大な問題があります。ほとんどの人はそれを信じて、これらの問題を認識していませんが、完璧に近いところはありません。

画像のクレジット:Sarah Joy

最古の市販のフロッピーディスクの内部には磁気フィルムがあり、それは直径が8インチで、約1メガバイトしか収納できませんでした。