Android

Problemen met HTTPS en SSL-mensen hebben het niet over

CVE-2020-0601 aka Curveball: A technical look inside the critical Microsoft CryptoAPI vulnerability

CVE-2020-0601 aka Curveball: A technical look inside the critical Microsoft CryptoAPI vulnerability

Inhoudsopgave:

Anonim

HTTPS en SSL zijn de protocollen die worden gebruikt om het web te beveiligen. HTTPS maakt zelfs gebruik van SSL om dingen voor elkaar te krijgen. Het hele idee met deze protocollen is om ervoor te zorgen dat niemand kan afluisteren op belangrijke gegevens die via internet worden verzonden. De dingen zijn echter niet zoals ze lijken, want SSL is in werkelijkheid een warboel.

Raak het niet in de war, want dat betekent niet dat SSL- en HTTPS-codering nutteloos zijn voor gebruikers op internet. Ze hebben hun problemen, maar beide zijn op alle mogelijke manieren veel beter dan

Problemen met HTTPS en SSL

Laten we een paar problemen met HTTPS en SSL

aanwijzen Man in de middelste aanvallen

een vreemde reden, Man in the Middle-aanvallen zijn nog steeds mogelijk met SSL. Het concept is eenvoudig; gebruikers moeten via openbare Wi-Fi verbinding kunnen maken met de website van hun bank, omdat de verbinding veilig is. Aanvallers moeten daarom niet het middel vinden om door te glippen.

Een aanval via dit formulier kan de gebruiker omleiden naar een HTTP-website die lijkt op een beveiligde, en van daaruit zouden de aanvallers terminals hebben opgezet in de hoop waardevolle informatie te stelen.

Te veel certificaatautoriteiten

Uw webbrowser heeft een lijst met ingebouwde certificaatautoriteiten. Alle webbrowsers vertrouwen alleen op certificaten die zijn uitgegeven door de ingebouwde certificaten. Als gebruikers een website bezoeken die is beveiligd met SSL, geeft deze een certificaat af en gaat de webbrowser verder om te controleren of de website is ontworpen om van die bepaalde pagina te komen.

Hier is het ding, want er zijn zoveel certificaatautoriteiten, problemen met één certificaat kunnen allemaal van invloed zijn. Dat is nooit goed, en tot nu toe kunnen webmasters er niet veel aan doen.

Certificaatautoriteiten die nepcertificaten uitgeven

Ongelofelijk, nepcertificaten zijn er die problemen veroorzaken voor internetgebruikers. En zelfs Google en andere bedrijven zijn er in het verleden ten prooi aan gevallen.

De overheid of anderen hadden de mogelijkheid om dit valse certificaat te gebruiken om de officiële Google-pagina na te bootsen, waardoor het mogelijk zou zijn om een ​​Man in the Middle-aanval uit te voeren. In haar verweerschrift beweerde ANSSI dat het certificaat was gecreëerd om haar eigen gebruikers te bespioneren, en als zodanig had de Franse overheid er geen toegang toe.

Sommige certificaten zijn ronduit mislukt

Volgens onderzoeken uit het verleden, sommige certificaatautoriteiten hebben gefaald bij het bezorgen van certificaten. Dit betekent dat sommige websites mogelijk geen certificaat vereisen, maar de autoriteit levert het toch af. Als dit op regelmatige basis wordt gedaan, kan men zich alleen maar voorstellen wat andere fouten zijn gemaakt en nog steeds worden gemaakt.