۴ مشکل جدی HTTPS و امنیت SSL در وب
این مطلب به این معنی نیست که HTTPS و رمزنگاری SSL فاقد ارزش است ، زیرا آنها قطعا خیلی بهتر از اتصالات HTTP عمل می کند حتی در بدترین حالت .
HTTPS با استفاده از SSL یک محیط امن برای کاربر فراهم می کند بنابراین شما می دانید به یک وب سایت معتبر متصل شده اید ، ولی این یک نظریه است و در عمل SSL نوعی آشفتگی بوجود می آورد.
این مطلب به این معنی نیست که HTTPS و رمزنگاری SSL فاقد ارزش است ، زیرا آنها قطعا خیلی بهتر از اتصالات HTTP عمل می کند حتی در بدترین حالت .
تعداد گواهینامه های معتبر دیجیتال
مرورگر شما یک لیست Built-in از گواهینامه های مورد اعتماد دارد .که مرورگرها تنها به این گواهینامه ها اعتماد می کنند .
مرورگر خود را بررسی کنید تا مطمئن شوید گواهی SSL آن از یک مرجع معتبر صادر شده است .
اگر گواهی برای دامنه دیگری و یا از یک مرجع نا معتبر صادر شده باشد شما یک هشدار جدی را در مرورگز خود خواهید دید.
یک مشکل اصلی که در بسیاری از مجورها وجود دارد این است که شما ممکن است یک گواهینامه SSL در دامنه خود داشته اما یک هکر می تواند با بکار بردن ترفند هایی از مجوز دامنه ی شما استفاده کند .
گواهینامه های دیجیتال همیشه معتبر نیستند
تصویب گواهی دیجیتال دلیل بر مطمئن بودن نیست.
مطالعات نشان داده است که برخی از این مصوبات هنگام صدور گواهی با کمترین تلاش و کوشش به ثبت رسیده اند . گواهی SSL برای نوع آدرس است که هرگز نباید برای برخی از کاربرد ها مانند localhost، که نشان دهنده کامپیوتر های محلی است صادر شود . در سال ۲۰۱۱ EEF بیش از ۲۰۰۰ گواهی معتبر صادر شده برای localhost پیدا کرد .
اگر این گواهی ها با بررسی صحت ان صادر شده است بسیاری از این گواهی نامه ها بدون تایید صحت درستی معتبر به شمار می اید . که در نگاه اول طبیعی به نظر می رسد اما شما بسیار متعجب خواهید شد اگر بدانید که چه اشتباهاتی از این طریق به وجود آمده است .شاید آن گواهی های غیر مجاز صادر شده سایت هایی باشد که از اطلاعات مردم سوء استفاده میکنند .
صادر کننده های گواهی دیجیتال ممکن است مجبور به صدور گواهینامه های جعلی شوند
از انجا که بسیاری مراجع صدور کواهی دیجیتال در سرتا سر جهان وجود دارد و هر کدام از انها میتوانند برای هر سایتی گواهی صادر کنند .دولت میتواند مراکز صدور گواهی را وادار به صدور کواهینامه برای سایت های مورد نظر کند .
اتفاقی که جدیدا در فرانسه افتاده است که در ان یک جستجوگر تقلبی گوگل برای google .com از سازمان گواهی دیجیتال ANNSI فرانسه مجوز گرفته است . این اجازه از طرف دولت فرانسه باعث شده هرکسی بتواند به جعل سایت گوگل پرداخته و به سوء استفاده از اطلاعات مردم بپردازد. البته ANNSI مدعی است که این گواهی فقط برای پیدا کردن متخلفین در شبکه های خصوصی است که دولت فرانسه از آن استفاده میکند . اما حتی اگر این حرف ANSSI درست باشد این کار نقض قوانین است .
Perfect Forward Secrecy همه جا استفاده نمیشود
بسیاری از سایتها از Perfect Forward Secrecy استفاده نمی کنند ، که این تکنیک رمزگذاری سخت تری روی کرک ها اعمال می کند .
بدون این تکنیک مهاجمان می توانند مقدار زیادی از داده های رمزگذاری شده را با یک کلید مخفی ضبط و رمزگشایی نمایند.و ما می دانیم که NSA و دیگر سازمانهای دولتی در سراسر جهان متقاضی دریافت این اطلاعات هستند اگر آنها موفق به کشف کلید رمزگذاری مجوز وب سایت ها شوند می توانند با استفاده از آنها به تمام اطلاعات هر کسی که به این وب سایت ها متصل شده است دسترسی پیدا کنند .
ارسال نظر