- سایر مقالات
- زمان 4 دقیقه
محمد صادقی
پروتکل های امنیتی HTTPS و SSL چه مشکلاتی را دارا میباشند؟
پروتکل های امنیتی HTTPS و SSL در این مطلب بررسی شده و مشکلات پروتکل امن HTTPS که مورد اعتماد اغلب مردم میباشد و از آن استفاده میکنند نیز بیان شده است.
HTTPS با استفاده از SSL تایید هویت و امنیت را فراهم میکند،بنابراین از این طریق شما می دانید که به سایت درست و اصلی متصل شده اید و کسی امکان دزدین اطلاعات شما را ندارد.
- پروتکل های امنیتی HTTPS و SSL چه مشکلاتی را دارا میباشند؟
- ۱- تعداد واقعی موسسات صدور گواهینامه مهم است
- ۲-مورد اعتماد نبودن اغلب موسسات صدور گواهینامه
- ۳-میتوان موسسات صدور گواهینامه را مجبور به صدرو گواهینامه های جعلی کرد
- ۴-Perfect forward secrecy که یکی از روش های امن سازی در رمزنگاری هست در همه جا استفاده نشده
- ۵-مشکل دیگر حمله به اطلاعات در میانه راه و کاراکترهای هم کد شده
به هر حال این یک نظریه است و در عمل SSL بر روی اینترنت یک مسافر یا سربار میباشد.
این به این معنا نیست که رمزنگاری HTTPS و SSL فاقد ارزش هستند.
بلکه استفاده این پروتکل ها خیلی بهتر از استفاده از پروتکل رمزنگاری نشده HTTP می باشد.
حتی در بدترین حالت یک اتصال به خطرافتاده HTTPS بهتر و امن تر از اتصال با استفاده از HTTP است.
۱- تعداد واقعی موسسات صدور گواهینامه مهم است
مرورگر شما از لیستی از گواهینامه های قابل اعتماد ساخته شده است.
مرورگرها فقط به گواهینامه های صادر شده توسط این گواهی نامه اعتماد میکند.
اگر شما به آدرس https://example.com سربزنید وب سرور موجود در example.com به شما یک گواهینامه SSL نشان می دهد تا مرورگرتان بررسی کند و مطمئن شود که گواهینامه SSL برای example.com توسط یک گواهینامه معتر موجود در لیست گواهینامه ها صادر شده است یا خیر.
اگر گواهینامه برای دومین دیگر صادر شده باشد و یا در لیست گواهینامه های قابل اطمینان وجود نداشته باشد شما یک هشدار جدی را در مرورگر خود مشاهده خواهید کرد.
یکی از مشکلات عمده این است که تعداد زیادی گواهینامه در لیست وجود دارد بنابراین مشکل با یک گواهینامه معتبر،ممکن است برای افراد زیادی اتفاق بیفتد.
بعنوان مثال شما ممکن است یک گواهینامه SSL را برای domain خود از زیرمجموعه verisign بگیرید و یک نفر دیگر می تواند با حقه و زیرکی گواهینامه معتبر دیگری را برای domain شما بگیرد.
۲-مورد اعتماد نبودن اغلب موسسات صدور گواهینامه
مطالعات نشان می دهد که موسسات ارائه دهنده گواهی نامه(certificate) از کمترین میزان دیجیتالی شدن در صدور گواهی نامه ها برخوردارند.
آن ها برای مکان هایی مانندlocalhost که همیشه بیانگر کامپیوتر محلی است و نیازی به گواهی نامه ندارند گواهی های SSL صادر کرده اند.
در سال ۲۰۱۱،EEF بیش از ۲۰۰۰ گواهی نامه را برای localhost پیدا کرد که توسط موسسه های معتبر و قابل اطمینان صادر شده بودند.
اگر این مسئله را در نظر بگیریم که موسسه های صدور گواهی نامه در هنگام صدور این گواهی ها حتی به آدرس آن ها توجه نمی کنند،با کمی تامل متوجه اشتباه های دیگر این موسسه ها می شویم.
حتی ممکن است که برای سایت های هکرها هم گواهی های معتبر صادر کرده باشند.
گواهی نامه های EV سعی در حل این مشکل دارند.
۳-میتوان موسسات صدور گواهینامه را مجبور به صدرو گواهینامه های جعلی کرد
بدلیل اینکه موسسه های صدور گواهینامه بسار زیادی در سراسر جهان وجود دارند و هر موسسه صدور گواهینامه می تواند برای هر سایتی یک گواهینامه صادر کند.
برای مثال دولت میتواند موسسه ها را به صدور گواهینامه SSL برای یک سایت که می خواهد خود را به جای سایت دیگر جا بزنند مجبور کند.
این مسئله به تازگی در فرانسه اتفاق افتاد که گوگل یک گواهینامه تقلبی برای google.com که توسط موسسه صدور گواهینامه ANSSI فرانسه صادر شده بود را پیدا کرد.
این مجوز به دولت فرانسه یا هر کس دیگری که از این مجوز استفاده میکرد اجازه میداد که از این طریق برای کلاهبرداری و دزدیدن اطلاعات استفاده کند.
۴-Perfect forward secrecy که یکی از روش های امن سازی در رمزنگاری هست در همه جا استفاده نشده
بسیاری از سایت ها از تکنیک perfect forward secrecy تکنیکی که رمزگشایی را سخت میکند استفاده نمی کنند.
بدون روش perfect forward secrecy یک حمله کننده می تواند اطلاعات زیادی را بدست آورده و آنها را تنها با یک کلید مخفی رمزگشایی کند.
همانطور که میدانید NSA و دیگر آژانس های امنیتی ایالتی در سراسر جهان این اطلاعات را بدست می آورند.
اگر آنها سال ها بعد کد رمزگذاری یک وبسایت را بدست بیاورند می توانند از آن برای رمزگشایی همه اطلاعات رمزگذاری شده بین آن وبسایت و هرشخصی که به آن وبسایت ها متصل شده اند استفاده کنند.
روش perfect forward secrecy به ایمن ماندن بوسیله ایجادکردن یک کلید منحصر به فرد برای هر بخش کمک می کند.
به عبارت دیگر هربخش به وسیله یک کلید سری متفاوت رمزگذاری می شود.
پس در این صورت همه آنها نمی توانند رمزگشایی شوند.
تنها با یک کلید می توان از این مسئله که فردی بتواند حجم عظیمی از اطلاعات را به یکباره رمزگشایی کند جلوگیری کرد.
بدلیل اینکه تعداد بسیارکمی از وبسایت ها از این شیوه مهم امنیتی استفاده می کنند آژانس های امنیتی ایالتی می توانند در آینده همان اطلاعات را رمزگشایی کنند.
۵-مشکل دیگر حمله به اطلاعات در میانه راه و کاراکترهای هم کد شده
حملات درمیان راه متاسفانه هنوز با پروتکل SSL امکانپذیر است.
در تئوری اتصال به شبکه عمومی wifi و سایت بانکها،ایمن می باشد.
شما میدانید که اتصال به دلیل اینکه بوسیله پروتکل HTTPS است ایمن میباشد و اتصال با HTTPS به شما کمک میکند تا شما متوجه شوید که واقعا به بانکتان متصل شده اید.
درعمل اگر شما با استفاده از یک شبکه عمومی wifi به بانکتان متصل شوید ممکن است خطرناک باشد.
راههایی وجود دارد که میتوانند به Hotspot ها بوسیله حملات میان انسانی صدمه بزنند،همچنین به اطلاعات افرادی که به این شبکه ها متصل شده اند.
برای مثال یک wifi hotspot ممکن است به یک بانک متصل باشد ولی اطلاعات درمیانه راه به مقصد دیگر فرستاده شود.
ممکن است این کار خیلی بی سروصدا و غیر مستقیم شما را به یک صفحه با پروتکل HTTP ببرد و از آن طریق به بانک و صفحه ای که به شما تعلق دارد متصل شود.
همچنین ممکن است از یک آدرس HTTPS مشابه استفاده کند ابن آدرس مشابه مشخصات را در صفحه بانکتان جست و جو میکند ولی این کاملا متفاوت است و در واقع از کاراکترهای ویژه هم کد شده استفاده میکند.
این آخرین و خطرناکترین نوع حمله است که به عنوان یک نوع حمله بین الملی از کلمات هموگراف شناخته شده است.
وقتی شما تنطیمات کاراکترهای هم کدشده را بررسی کنید و در آن به جستوجو بپردازید،شما کاراکترهایی که اساسا در ۲۶ حرف الفبای لاتین وجود دارد را پیدا خواهید کرد شاید آن حرف O در google.com باشد.
دیدگاه خود را بیان کنید