ホームページ » の仕方 » Web上のHTTPSおよびSSLセキュリティに関する5つの深刻な問題

    Web上のHTTPSおよびSSLセキュリティに関する5つの深刻な問題

    SSLを使用するHTTPSは本人確認とセキュリティを提供するので、あなたはあなたが正しいウェブサイトに接続していることを知っていて、誰もあなたを傍受することはできません。とにかく、それが理論です。実際には、Web上のSSLは混乱の一種です.

    暗号化されていないHTTP接続を使用するよりもはるかに優れているため、これはHTTPSおよびSSL暗号化が無価値であることを意味するわけではありません。最悪のシナリオでも、侵入されたHTTPS接続はHTTP接続と同じくらい安全ではありません。.

    認証局の膨大な数

    あなたのブラウザは信頼できる認証局の組み込みリストを持っています。ブラウザはこれらの認証局によって発行された証明書のみを信頼します。 https://example.comにアクセスした場合は、example.comのWebサーバーからSSL証明書が提示され、ブラウザはexample.comに対してWebサイトのSSL証明書が信頼できる認証局によって発行されたことを確認します。証明書が別のドメインに対して発行された場合、または信頼できる認証局によって発行されたものでない場合は、ブラウザに重大な警告が表示されます。.

    大きな問題の1つは、認証局が非常に多いため、1つの認証局に関する問題がすべての人に影響を及ぼす可能性があることです。たとえば、VeriSignから自分のドメインのSSL証明書を取得することがありますが、他の認証局を侵害したりだまして自分のドメインの証明書を取得することもできます。.

    認証局が常に自信を持っているとは限らない

    証明書を発行するときに、一部の認証局が最小限のデューデリジェンスでも実行できなかったことが調査によって判明しています。彼らは、ローカルコンピュータを常に表す「localhost」など、証明書を必要としないアドレスの種類に対してSSL証明書を発行しました。 2011年に、EFFは正当な、信頼された認証局によって発行された「localhost」のために2000以上の証明書を見つけました.

    信頼できる認証局が、そもそもアドレスが有効であることを確認せずに非常に多くの証明書を発行した場合、他にどんな間違いがあったのか疑問に思うのは当然です。おそらく彼らはまた他の人々のウェブサイトのために攻撃者に無許可の証明書を発行した。.

    拡張検証証明書、またはEV証明書は、この問題を解決しようとします。 SSL証明書に関する問題と、EV証明書がそれらを解決しようとする方法について説明しました。.

    認証局は偽の証明書を発行することを余儀なくされる可能性があります

    認証局は非常に多くあり、それらは世界中にあり、どの認証局もどのWebサイトに対しても証明書を発行することができるため、政府は認証局になりすましたいサイトに対してSSL証明書を発行させることができます。.

    これはおそらく最近フランスで起こりました。Googleがgoogle.comの不正な証明書をフランスの認証局ANSSIによって発行されたことを発見しました。当局は、フランス政府またはそれ以外の人がGoogleのWebサイトを偽装し、中間者攻撃を容易に行うことを許可していたでしょう。 ANSSIは、フランス政府ではなく、証明書がプライベートネットワークでのみ使用され、ネットワーク自身のユーザーを詮索すると主張しました。これが真実であっても、証明書を発行するときにはANSSI自身のポリシーに違反することになります。.

    完全転送秘密はどこにでも使用されていません

    多くのサイトでは、暗号化を解読しにくくするための「完全転送秘密」を使用していません。完全な前方秘匿がなければ、攻撃者は大量の暗号化されたデータを取得し、それらすべてを単一の秘密鍵で復号化する可能性があります。私たちは、NSAや世界中の他の州の治安機関がこのデータを捉えていることを知っています。何年か後にWebサイトで使用されている暗号化キーを発見した場合は、それを使用して、そのWebサイトとそれに接続しているすべてのユーザーとの間で収集したすべての暗号化データを復号化できます。.

    完全な前方秘密は各セッションのためにユニークなキーを生成することによってこれから保護するのを助けます。つまり、各セッションは異なる秘密鍵で暗号化されているため、1つの鍵ですべてのセッションをロック解除することはできません。これにより、誰かが大量の暗号化データを一度に復号化するのを防ぐことができます。このセキュリティ機能を使用しているWebサイトはほとんどないため、州のセキュリティ機関が将来これらのデータをすべて復号化できる可能性が高くなります。.

    中間攻撃者とUnicode文字

    残念ながら、SSLを使った中間者攻撃は依然として可能です。理論上は、公衆Wi-Fiネットワークに接続して銀行のサイトにアクセスしても安全です。 HTTPSを介しているため接続が安全であることを知っています。HTTPS接続は、実際に銀行に接続していることを確認するのにも役立ちます。.

    実際には、公衆Wi-Fiネットワークで銀行のWebサイトに接続するのは危険です。悪意のあるホットスポットがそれに接続する人々に中間者攻撃を仕掛けることができる既製のソリューションがあります。たとえば、Wi-Fiホットスポットがあなたに代わって銀行に接続し、データをやり取りして中央に座ることがあります。それはこっそりあなたをHTTPページにリダイレクトし、あなたに代わってHTTPSで銀行に接続することができます.

    これは、「ホモグラフに似たHTTPSアドレス」を使用することもできます。これは、銀行の画面と同じに見えるアドレスですが、実際には特殊なUnicode文字を使用しているため、異なります。この最後で最も怖いタイプの攻撃は、国際化ドメイン名のホモグラフ攻撃として知られています。 Unicode文字セットを調べると、ラテンアルファベットで使用されている26文字と基本的に同じに見える文字が見つかります。接続しているgoogle.comのoが実際にはoではなく、他の文字である可能性があります。.

    公衆Wi-Fiホットスポットを使用することの危険性を見たときに、これをより詳細に説明しました.

    もちろん、HTTPSはほとんどの場合うまく機能します。あなたがコーヒーショップを訪れて彼らのWi-Fiに接続したときにそのような巧妙な中間者攻撃に遭遇することはありそうもないです。本当の意味では、HTTPSには重大な問題がいくつかあります。ほとんどの人はそれを信頼しており、これらの問題を認識していませんが、完璧に近いところはありません。.

    画像クレジット:サラ・ジョイ

    5あなたが巣に変更すべき設定こんにちは
    スパムと戦うための5つの簡単なステップ
    あなたが信じるのを止める必要がある5つの遠隔労働者の神話
    次の記事
    モバイルデバイス用にWebサイトを変換する5つのサービス
    前の記事
    共同創設者価値がある5つの秘密