الصفحة الرئيسية » howto » 5 مشاكل خطيرة مع HTTPS وأمان SSL على الويب

    5 مشاكل خطيرة مع HTTPS وأمان SSL على الويب

    توفر HTTPS ، التي تستخدم طبقة المقابس الآمنة ، التحقق من الهوية وأمانها ، حتى تعرف أنك متصل بموقع الويب الصحيح ولا يمكن لأي شخص التنصت عليك. هذه هي النظرية ، على أي حال. من الناحية العملية ، تعد SSL على الويب نوعًا من الفوضى.

    هذا لا يعني أن تشفير HTTPS و SSL لا قيمة لهما ، لأنهما بالتأكيد أفضل بكثير من استخدام اتصالات HTTP غير المشفرة. حتى في أسوأ الحالات ، سيكون اتصال HTTPS المخترق غير آمن مثل اتصال HTTP.

    العدد الهائل من المراجع المصدقة

    يحتوي المستعرض الخاص بك على قائمة مدمجة بسلطات الشهادات الموثوق بها. لا تثق المتصفحات إلا في الشهادات الصادرة عن هذه المراجع المصدقة. إذا قمت بزيارة https://example.com ، فإن خادم الويب في example.com سيقدم لك شهادة SSL وسيتحقق متصفحك للتأكد من أن شهادة SSL الخاصة بموقع الويب قد تم إصدارها لـ example.com بواسطة مرجع مصدق موثوق به. إذا تم إصدار الشهادة لنطاق آخر أو إذا لم يتم إصداره من قِبل مرجع مصدق موثوق به ، فسترى تحذيرًا خطيرًا في متصفحك.

    مشكلة رئيسية واحدة هي أن هناك العديد من المراجع المصدقة ، لذلك يمكن أن تؤثر مشاكل مع مرجع الشهادة واحد على الجميع. على سبيل المثال ، قد تحصل على شهادة طبقة مقابس آمنة لنطاقك من VeriSign ، ولكن هناك شخصًا ما يمكنه اختراق أو خداع سلطة أخرى للحصول على شهادة والحصول على شهادة لنطاقك أيضًا.

    لم تعتمد سلطات الشهادات دائما على الثقة

    وقد وجدت الدراسات أن بعض السلطات الموثقة لم تفعل حتى الحد الأدنى من العناية الواجبة عند إصدار الشهادات. لقد أصدروا شهادات SSL لأنواع العناوين التي لا ينبغي لها مطلقًا طلب شهادة ، مثل "localhost" ، والتي تمثل دائمًا الكمبيوتر المحلي. في عام 2011 ، عثر EFF على أكثر من 2000 شهادة لـ "localhost" صادرة عن سلطات شرعية وموثوق بها.

    إذا أصدرت سلطات الشهادة الموثوق بها العديد من الشهادات دون التحقق من أن العناوين صحيحة حتى في المقام الأول ، فمن الطبيعي أن نتساءل عن الأخطاء الأخرى التي ارتكبتها. ربما قد أصدروا أيضًا شهادات غير مصرح بها لمواقع الأشخاص الآخرين للمهاجمين.

    شهادات التصديق الممتدة ، أو شهادات EV ، تحاول حل هذه المشكلة. لقد غطينا المشاكل بشهادات SSL وكيف تحاول شهادات EV حلها.

    يمكن إجبار المراجع المصدقة على إصدار شهادات مزيفة

    نظرًا لوجود عدد كبير جدًا من المراجع المصدقة ، في جميع أنحاء العالم ، ويمكن لأي جهة إصدار شهادات أن تصدر أي موقع ويب ، يمكن للحكومات إجبار هيئات إصدار الشهادات على إصدار شهادة SSL لموقع الويب الذي تريد انتحال صفته.

    ربما حدث هذا مؤخرًا في فرنسا ، حيث اكتشفت Google شهادة مارقة لـ google.com تم إصدارها من قِبل سلطة التصديق الفرنسية ANSSI. كان من الممكن أن تسمح السلطة للحكومة الفرنسية أو لأي شخص آخر لها بانتحال شخصية موقع Google الإلكتروني ، مما يؤدي بسهولة إلى تنفيذ هجمات الرجل في المنتصف. ادعى ANSSI أن الشهادة استخدمت فقط على شبكة خاصة للتطفل على مستخدمي الشبكة ، وليس من قبل الحكومة الفرنسية. حتى لو كان هذا صحيحًا ، فسيكون ذلك انتهاكًا لسياسات ANSSI عند إصدار الشهادات.

    السرية الامامية المثالية لا تستخدم في كل مكان

    لا تستخدم العديد من المواقع "السرية التامة للأمام" ، وهي تقنية من شأنها أن تجعل التشفير أكثر صعوبة. بدون السرية التامة إلى الأمام ، يمكن للمهاجم التقاط كمية كبيرة من البيانات المشفرة وفك تشفيرها كلها باستخدام مفتاح سر واحد. نحن نعلم أن وكالة الأمن القومي وغيرها من وكالات أمن الدولة في جميع أنحاء العالم تلتقط هذه البيانات. إذا اكتشفوا مفتاح التشفير الذي يستخدمه موقع الويب بعد سنوات ، فيمكنهم استخدامه لفك تشفير جميع البيانات المشفرة التي جمعوها بين موقع الويب هذا وكل شخص متصل به.

    تساعد السرية التامة للأمام على الحماية من ذلك عن طريق توليد مفتاح فريد لكل جلسة. بعبارة أخرى ، يتم تشفير كل جلسة باستخدام مفتاح سري مختلف ، بحيث لا يمكن إلغاء قفلها جميعًا باستخدام مفتاح واحد. هذا يمنع شخص ما من فك تشفير كمية هائلة من البيانات المشفرة دفعة واحدة. نظرًا لأن عددًا قليلاً جدًا من مواقع الويب تستخدم ميزة الأمان هذه ، فمن المحتمل أن تقوم وكالات أمن الدولة بفك تشفير كل هذه البيانات في المستقبل.

    رجل في الهجمات المتوسطة وشخصية Unicode

    للأسف ، لا تزال هجمات man-in-the-middle ممكنة باستخدام طبقة المقابس الآمنة. نظريًا ، يجب أن يكون الاتصال الآمن بشبكة Wi-Fi عامة والوصول إلى موقع البنك الخاص بك أمرًا آمنًا. أنت تعلم أن الاتصال آمن لأنه عبر HTTPS ، ويساعدك اتصال HTTPS أيضًا على التحقق من أنك متصل فعليًا بمصرفك.

    من الناحية العملية ، قد يكون من الخطر الاتصال بموقع الويب الخاص بمصرفك على شبكة Wi-Fi عامة. هناك حلول جاهزة يمكن أن تؤدي إلى نقطة ساخنة ضارة تؤدي إلى هجمات رجل في الوسط على الأشخاص الذين يتصلون بها. على سبيل المثال ، قد تتصل نقطة اتصال Wi-Fi بالبنك نيابةً عنك ، وترسل البيانات ذهابًا وإيابًا وتجلس في المنتصف. يمكن أن يعيد توجيهك إلى صفحة HTTP بشكل خاطف والاتصال بالبنك باستخدام HTTPS نيابةً عنك.

    ويمكن أيضًا استخدام "عنوان HTTPS مشابه للتطابق". هذا العنوان يبدو مطابقًا للبنك الذي تتعامل معه على الشاشة ، ولكنه يستخدم أحرف Unicode خاصة حتى يكون مختلفًا. يُعرف هذا النوع الأخير من الأخذ بالاعتداء باسم هجمة متناظرة لاسم النطاق. افحص مجموعة أحرف Unicode وستجد الأحرف التي تتطابق بشكل أساسي مع الأحرف 26 المستخدمة في الأبجدية اللاتينية. ربما لا تكون الكلمة الرئيسية في google.com التي ترتبط بها في الواقع عبارة عن o ، ولكنها تمثل أحرفًا أخرى.

    لقد تناولنا ذلك بمزيد من التفصيل عندما نظرنا إلى مخاطر استخدام نقطة اتصال Wi-Fi عامة.


    بالطبع ، يعمل HTTPS بشكل جيد في معظم الأوقات. من غير المحتمل أن تواجه هجومًا ذكيًا في الوسط عند زيارة أحد المقاهي والاتصال بشبكة Wi-Fi. النقطة الحقيقية هي أن HTTPS لديه بعض المشاكل الخطيرة. معظم الناس يثقون به ولا يدركون هذه المشاكل ، ولكن لا يوجد مكان قريب من الكمال.

    Image Credit: سارة فرح