HTTPS a SSL sú protokoly používané na zabezpečenie webu. V skutočnosti HTTPS používa protokol SSL na vykonanie úloh. Celá myšlienka s týmito protokolmi je zabezpečiť, aby nikto nemohol odhaliť dôležité údaje cestujúce cez web. Avšak veci nie sú tak, ako sa zdajú, pretože v skutočnosti SSL je zmätok.
Nerobte to skrútené, pretože to neznamená, že šifrovanie SSL a HTTPS je zbytočné pre užívateľov na webe. Majú svoje problémy, ale obe sú omnoho lepšie ako HTTP v každom možnom smere.
Problémy s HTTPS a SSL
Človek uprostred útokov
Z nejakého zvláštneho dôvodu sú muži v útokoch na stred stále možné s protokolom SSL. Koncept je jednoduchý; používatelia by mali mať možnosť pripojiť sa na internetovú stránku svojej banky cez verejnú sieť Wi-Fi, pretože pripojenie je bezpečné, odteraz by útočníci nemali nájsť prostriedky na prekonanie.
Útok prostredníctvom tohto formulára by mohol presmerovať používateľa na webovú stránku HTTP, ktorá vyzerá podobne ako zabezpečená, a odtiaľ by útočníci mali mať terminály nastavené v nádeji, že odcudzia cenné informácie.
Príliš veľa certifikačných autorít
Váš webový prehliadač má vstavaný zoznam certifikačných autorít. Všetky webové prehliadače dôverujú iba certifikátom, ktoré vydali tie vstavané. Ak by používatelia navštívili webové stránky zabezpečené pomocou protokolu SSL, vydali by certifikát a webový prehliadač bude pokračovať, aby skontroloval, či má daná webová stránka zabezpečiť, aby bol certifikát navrhnutý tak, aby pochádza z tejto konkrétnej stránky.
Tu je vec, pretože existuje toľko certifikačných autorít, problémy s jedným certifikátom by mohli mať vplyv na všetky. To nikdy nie je dobré, a zatiaľ nie je veľa správcov webových stránok.
Certifikačné orgány vystavujúce falošné certifikáty
Neuveriteľne, falošné certifikáty sú tam a spôsobujú problémy pre používateľov webu. Dokonca aj spoločnosť Google a iné spoločnosti sa jej v minulosti stali obeťami.
Vláda alebo iní mali možnosť používať tento nečestný certifikát, aby sa vydávali za oficiálnu stránku Google, čo by umožnilo uskutočniť útok stredného muža. Vo svojej obhajobe spoločnosť ANSSI tvrdila, že certifikát bol vytvorený na špehovanie svojich užívateľov a francúzska vláda ako taká nemala prístup k nim.
Niektoré certifikáty sa niekedy zlyhali
Podľa štúdií vykonaných v minulosti niektoré certifikačné autority zlyhali pri poskytovaní certifikátov. To znamená, že niektoré webstránky nemusia vyžadovať certifikát, ale autorita ho v každom prípade dodá. Ak sa to robí pravidelne, potom je možné len predstaviť, aké ďalšie chyby boli urobené a stále sa robia.
