5 sérios problemas com segurança HTTPS e SSL na Web
O HTTPS, que usa SSL, fornece verificação e segurança de identidade, para que você saiba que está conectado ao site correto e ninguém pode espionar você. Essa é a teoria, de qualquer maneira. Na prática, o SSL na Web é uma bagunça.
Isso não significa que a criptografia HTTPS e SSL seja inútil, já que são definitivamente muito melhores do que usar conexões HTTP não criptografadas. Mesmo na pior das hipóteses, uma conexão HTTPS comprometida será tão insegura quanto uma conexão HTTP.
O número completo de autoridades de certificação
Seu navegador tem uma lista interna de autoridades de certificação confiáveis. Os navegadores confiam somente em certificados emitidos por essas autoridades de certificação. Se você visitou https://example.com, o servidor da web em example.com apresentaria um certificado SSL para você e seu navegador verificaria se o certificado SSL do site foi emitido por example.com por uma autoridade de certificação confiável. Se o certificado foi emitido para outro domínio ou se não foi emitido por uma autoridade de certificação confiável, você verá um aviso sério no seu navegador.
Um grande problema é que há tantas autoridades de certificação, portanto, problemas com uma autoridade de certificação podem afetar todos. Por exemplo, você pode obter um certificado SSL para seu domínio da VeriSign, mas alguém pode comprometer ou enganar outra autoridade de certificação e obter um certificado para seu domínio também.
Autoridades certificadoras nunca inspiraram confiança
Os estudos descobriram que algumas autoridades certificadoras não conseguiram fazer a mínima auditoria durante a emissão de certificados. Eles emitiram certificados SSL para tipos de endereços que nunca devem exigir um certificado, como “localhost”, que sempre representa o computador local. Em 2011, a EFF encontrou mais de 2000 certificados para “localhost” emitidos por autoridades de certificação confiáveis e legítimas.
Se as autoridades de certificação confiáveis emitiram tantos certificados sem verificar se os endereços são válidos em primeiro lugar, é natural se perguntar que outros erros foram cometidos. Talvez eles também tenham emitido certificados não autorizados para sites de outras pessoas para invasores.
Certificados de validação estendida, ou certificados EV, tentam resolver esse problema. Cobrimos os problemas com certificados SSL e como os certificados EV tentam resolvê-los.
Autoridades de certificação podem ser compelidas a emitir certificados falsos
Como existem tantas autoridades de certificação, elas estão em todo o mundo e qualquer autoridade de certificação pode emitir um certificado para qualquer site, os governos podem obrigar as autoridades de certificação a emitir um certificado SSL para um site que desejam representar.
Isso provavelmente aconteceu recentemente na França, onde o Google descobriu que um certificado falso para o google.com havia sido emitido pela autoridade de certificação francesa ANSSI. A autoridade teria permitido que o governo francês ou quem quer que o possuísse personificasse o site do Google, realizando facilmente ataques man-in-the-middle. A ANSSI afirmou que o certificado era usado apenas em uma rede privada para espionar os próprios usuários da rede, não pelo governo francês. Mesmo que isso fosse verdade, seria uma violação das políticas da ANSSI ao emitir certificados.
O perfeito sigilo contínuo não é usado em todos os lugares
Muitos sites não usam "sigilo perfeito para frente", uma técnica que tornaria a criptografia mais difícil de decifrar. Sem um perfeito sigilo de encaminhamento, um invasor pode capturar uma grande quantidade de dados criptografados e descriptografá-los com uma única chave secreta. Sabemos que a NSA e outras agências de segurança do estado em todo o mundo estão capturando esses dados. Se eles descobrirem a chave de criptografia usada por um site anos depois, eles poderão usá-la para descriptografar todos os dados criptografados coletados entre esse site e todos que estiverem conectados a ele..
O sigilo de encaminhamento perfeito ajuda a proteger contra isso gerando uma chave exclusiva para cada sessão. Em outras palavras, cada sessão é criptografada com uma chave secreta diferente, para que não possam ser todas desbloqueadas com uma única chave. Isso impede que alguém descriptografe uma grande quantidade de dados criptografados de uma só vez. Como muito poucos sites usam esse recurso de segurança, é mais provável que as agências de segurança do estado possam descriptografar todos esses dados no futuro.
Homem nos ataques médios e caracteres Unicode
Infelizmente, os ataques man-in-the-middle ainda são possíveis com o SSL. Em teoria, deve ser seguro conectar-se a uma rede Wi-Fi pública e acessar o site do seu banco. Você sabe que a conexão é segura porque é por HTTPS, e a conexão HTTPS também ajuda a verificar se você está realmente conectado ao seu banco.
Na prática, pode ser perigoso se conectar ao site do seu banco em uma rede Wi-Fi pública. Existem soluções prontas para uso que podem fazer com que um hotspot mal-intencionado execute ataques man-in-the-middle em pessoas que se conectam a ele. Por exemplo, um ponto de acesso Wi-Fi pode se conectar ao banco em seu nome, enviando dados para frente e para trás e sentado no meio. Pode redirecioná-lo sorrateiramente para uma página HTTP e conectar-se ao banco com HTTPS em seu nome.
Ele também pode usar um "endereço HTTPS semelhante a uma homógrafa". Esse é um endereço que parece idêntico ao do seu banco na tela, mas que na verdade usa caracteres Unicode especiais para que seja diferente. Esse último e mais assustador tipo de ataque é conhecido como um ataque homográfico de nome de domínio internacionalizado. Examine o conjunto de caracteres Unicode e você encontrará caracteres que parecem basicamente idênticos aos 26 caracteres usados no alfabeto latino. Talvez oo no google.com que você está conectado não seja realmente o, mas são outros personagens.
Cobrimos isso com mais detalhes quando analisamos os perigos de usar um ponto de acesso Wi-Fi público.
Naturalmente, o HTTPS funciona bem na maioria das vezes. É improvável que você encontre um ataque man-in-the-middle tão inteligente quando visitar um café e se conectar ao Wi-Fi. O ponto real é que o HTTPS tem alguns problemas sérios. A maioria das pessoas confia e não tem conhecimento desses problemas, mas não é nem de perto perfeita.
Crédito de imagem: Sarah Joy