5 schwerwiegende Probleme mit HTTPS- und SSL-Sicherheit im Web

5 schwerwiegende Probleme mit HTTPS- und SSL-Sicherheit im Web

5 Serious Problems With Https

RAM-Geschwindigkeit überprüfen Windows 10

HTTPS, das SSL verwendet , bietet Identitätsprüfung und Sicherheit, sodass Sie wissen, dass Sie mit der richtigen Website verbunden sind und niemand Sie belauschen kann. Das ist jedenfalls die Theorie. In der Praxis ist SSL im Web ziemlich durcheinander.



Dies bedeutet nicht, dass HTTPS- und SSL-Verschlüsselung wertlos sind, da sie definitiv viel besser sind als die Verwendung unverschlüsselter HTTP-Verbindungen. Selbst im schlimmsten Fall ist eine kompromittierte HTTPS-Verbindung nur so unsicher wie eine HTTP-Verbindung.

Die schiere Zahl der Zertifizierungsstellen

VERBUNDEN: Was ist HTTPS und warum sollte ich mich darum kümmern?

Ihr Browser verfügt über eine integrierte Liste vertrauenswürdiger Zertifizierungsstellen. Browser vertrauen nur Zertifikaten, die von diesen Zertifizierungsstellen ausgestellt wurden. Wenn Sie https://example.com besuchen, präsentiert Ihnen der Webserver auf example.com ein SSL-Zertifikat und Ihr Browser überprüft, ob das SSL-Zertifikat der Website für example.com von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Wenn das Zertifikat für eine andere Domäne ausgestellt wurde oder nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, sehen Sie in Ihrem Browser eine ernsthafte Warnung.

Ein Hauptproblem besteht darin, dass es so viele Zertifizierungsstellen gibt, sodass Probleme mit einer Zertifizierungsstelle alle betreffen können. Beispielsweise könnten Sie von VeriSign ein SSL-Zertifikat für Ihre Domain erhalten, aber jemand könnte eine andere Zertifizierungsstelle kompromittieren oder austricksen und auch ein Zertifikat für Ihre Domain erhalten.

Zertifizierungsstellen haben nicht immer Vertrauen geweckt

VERBUNDEN: Wie Browser Website-Identitäten überprüfen und vor Betrügern schützen

Studien haben ergeben, dass einige Zertifizierungsstellen bei der Ausstellung von Zertifikaten nicht einmal eine minimale Sorgfaltspflicht ergriffen haben. Sie haben SSL-Zertifikate für Adressentypen ausgestellt, die niemals ein Zertifikat erfordern sollten, wie zum Beispiel localhost, das immer den lokalen Computer darstellt. Im Jahr 2011 hat die EFF gefunden über 2000 Zertifikate für localhost, ausgestellt von legitimen, vertrauenswürdigen Zertifizierungsstellen.

Anzeige

Wenn vertrauenswürdige Zertifizierungsstellen so viele Zertifikate ausgestellt haben, ohne die Gültigkeit der Adressen überhaupt zu überprüfen, fragt man sich nur natürlich, welche anderen Fehler sie gemacht haben. Vielleicht haben sie Angreifern auch nicht autorisierte Zertifikate für die Websites anderer Personen ausgestellt.

wie man eine iso rippt

Extended Validation-Zertifikate oder EV-Zertifikate versuchen, dieses Problem zu lösen. Wir haben abgedeckt die Probleme mit SSL-Zertifikaten und wie EV-Zertifikate versuchen, sie zu lösen .

Zertifizierungsstellen könnten gezwungen sein, gefälschte Zertifikate auszustellen

Da es so viele Zertifizierungsstellen auf der ganzen Welt gibt und jede Zertifizierungsstelle ein Zertifikat für jede Website ausstellen kann, könnten Regierungen Zertifizierungsstellen zwingen, ihnen ein SSL-Zertifikat für eine Website auszustellen, die sie imitieren möchten.

Dies geschah wahrscheinlich kürzlich in Frankreich, wo Google entdeckt ein betrügerisches Zertifikat für google.com wurde von der französischen Zertifizierungsstelle ANSSI ausgestellt. Die Behörde hätte der französischen Regierung oder jedem anderen erlaubt, sich als Google-Website auszugeben und so leicht Man-in-the-Middle-Angriffe durchzuführen. ANSSI behauptete, das Zertifikat wurde nur in einem privaten Netzwerk verwendet, um die eigenen Benutzer des Netzwerks auszuspionieren, nicht von der französischen Regierung. Selbst wenn dies der Fall wäre, wäre dies ein Verstoß gegen die eigenen Richtlinien von ANSSI bei der Ausstellung von Zertifikaten.

Perfect Forward Secrecy wird nicht überall verwendet

Viele Websites verwenden keine Perfect Forward Secrecy, eine Technik, die das Knacken der Verschlüsselung erschweren würde. Ohne Perfect Forward Secrecy könnte ein Angreifer eine große Menge verschlüsselter Daten erfassen und alles mit einem einzigen geheimen Schlüssel entschlüsseln. Wir wissen, dass die NSA und andere staatliche Sicherheitsbehörden auf der ganzen Welt diese Daten erfassen. Wenn sie den von einer Website verwendeten Verschlüsselungsschlüssel Jahre später entdecken, können sie damit alle verschlüsselten Daten entschlüsseln, die sie zwischen dieser Website und allen, die mit ihr verbunden sind, gesammelt haben.

Wohin gehen iPhone-Downloads?

Perfect Forward Secrecy schützt davor, indem für jede Sitzung ein eindeutiger Schlüssel generiert wird. Mit anderen Worten, jede Sitzung ist mit einem anderen geheimen Schlüssel verschlüsselt, sodass sie nicht alle mit einem einzigen Schlüssel entsperrt werden können. Dies verhindert, dass jemand eine riesige Menge verschlüsselter Daten auf einmal entschlüsselt. Da nur sehr wenige Websites diese Sicherheitsfunktion verwenden, ist es wahrscheinlicher, dass staatliche Sicherheitsbehörden in Zukunft all diese Daten entschlüsseln könnten.

Man-in-the-Middle-Angriffe und Unicode-Zeichen

VERBUNDEN: Warum die Verwendung eines öffentlichen Wi-Fi-Netzwerks gefährlich sein kann, selbst wenn Sie auf verschlüsselte Websites zugreifen

Man-in-the-Middle-Angriffe sind mit SSL leider immer noch möglich. Theoretisch sollte es sicher sein, sich mit einem öffentlichen Wi-Fi-Netzwerk zu verbinden und auf die Website Ihrer Bank zuzugreifen. Sie wissen, dass die Verbindung sicher ist, da sie über HTTPS erfolgt, und die HTTPS-Verbindung hilft Ihnen auch zu überprüfen, ob Sie tatsächlich mit Ihrer Bank verbunden sind.

Anzeige

In der Praxis kann es gefährlich sein, sich über ein öffentliches Wi-Fi-Netzwerk mit der Website Ihrer Bank zu verbinden. Es gibt Standardlösungen, mit denen ein bösartiger Hotspot Man-in-the-Middle-Angriffe auf Personen ausführen kann, die eine Verbindung zu ihm herstellen. Zum Beispiel könnte sich ein Wi-Fi-Hotspot in Ihrem Namen mit der Bank verbinden, Daten hin und her senden und in der Mitte sitzen. Es könnte Sie heimlich auf eine HTTP-Seite umleiten und sich in Ihrem Namen über HTTPS mit der Bank verbinden.

Es könnte auch eine homographähnliche HTTPS-Adresse verwenden. Dies ist eine Adresse, die auf dem Bildschirm identisch mit der Ihrer Bank aussieht, die jedoch spezielle Unicode-Zeichen verwendet, sodass sie sich unterscheidet. Diese letzte und furchterregendste Art von Angriff ist als internationalisierter Domainnamen-Homografenangriff bekannt. Untersuchen Sie den Unicode-Zeichensatz und Sie werden Zeichen finden, die im Wesentlichen mit den 26 Zeichen des lateinischen Alphabets identisch sind. Vielleicht sind die o's in google.com, mit denen Sie verbunden sind, nicht wirklich o's, sondern andere Zeichen.

Wir haben dies ausführlicher behandelt, als wir uns das angeschaut haben die Gefahren der Nutzung eines öffentlichen WLAN-Hotspots .

Wie lösche ich eine Wortseite?


Natürlich funktioniert HTTPS die meiste Zeit gut. Es ist unwahrscheinlich, dass Sie einem so cleveren Man-in-the-Middle-Angriff begegnen, wenn Sie ein Café besuchen und eine Verbindung zu dessen WLAN herstellen. Der eigentliche Punkt ist, dass HTTPS einige ernsthafte Probleme hat. Die meisten Menschen vertrauen ihm und sind sich dieser Probleme nicht bewusst, aber es ist bei weitem nicht perfekt.

Bildnachweis: Sarah Joy

WEITER LESEN Profilfoto von Chris Hoffman Chris Hoffmann
Chris Hoffman ist Chefredakteur von How-To Geek. Er schreibt über ein Jahrzehnt über Technologie und war zwei Jahre lang Kolumnist bei PCWorld. Chris hat für die New York Times geschrieben, wurde als Technologieexperte von Fernsehsendern wie Miamis NBC 6 interviewt und ließ sich von Nachrichtenagenturen wie der BBC über seine Arbeit berichten. Seit 2011 hat Chris über 2.000 Artikel geschrieben, die fast eine Milliarde Mal gelesen wurden – und das nur hier bei How-To Geek.
Vollständige Biografie lesen