Web’de HTTPS ve SSL Güvenliği ile İlgili 5 Ciddi Sorun

SSL kullanan HTTPS, kimlik doğrulaması ve güvenlik sağlar, böylece doğru web sitesine bağlandığınızı ve hiç kimsenin sizi dinleyemediğini bilirsiniz. Neyse, teori bu. Uygulamada, web üzerinde SSL biraz karışıklık.

Bu, HTTPS ve SSL şifrelemesinin, şifrelenmemiş HTTP bağlantılarını kullanmaktan kesinlikle daha iyi oldukları için değersiz olduğu anlamına gelmez. En kötü senaryoda bile, tehlikeli bir HTTPS bağlantısı yalnızca bir HTTP bağlantısı kadar güvensiz olur.

Sertifika Yetkililerinin Sırf Sayısı

Tarayıcınızda yerleşik bir güvenilir sertifika yetkilileri listesi var. Tarayıcılar yalnızca bu sertifika yetkilileri tarafından verilen sertifikalara güvenir. Https://example.com adresini ziyaret ettiyseniz, example.com'daki web sunucusu size bir SSL sertifikası sunar ve tarayıcınız web sitesinin SSL sertifikasının example.com için güvenilir bir sertifika yetkilisi tarafından verildiğinden emin olmak için kontrol eder. Sertifika başka bir etki alanı için verilmişse veya güvenilir bir sertifika yetkilisi tarafından verilmemişse, tarayıcınızda ciddi bir uyarı görürsünüz..

En büyük sorun, çok fazla sertifika yetkilisi bulunmasıdır, bu nedenle bir sertifika yetkilisiyle olan sorunlar herkesi etkileyebilir. Örneğin, VeriSign’dan etki alanınız için bir SSL sertifikası alabilirsiniz, ancak bir başkası başka bir sertifika yetkilisini tehlikeye atabilir veya kandırabilir ve etki alanınız için bir sertifika alabilir.

Sertifika Yetkilileri Her Zaman Güvende Olmadılar

Araştırmalar, bazı sertifika yetkililerinin sertifika verirken asgari durum tespiti bile yapmadığını tespit etti. Her zaman yerel bilgisayarı temsil eden “localhost” gibi bir sertifika gerektirmeyen adres türleri için SSL sertifikaları verdiler. 2011 yılında EFF, meşru ve güvenilir sertifika yetkilileri tarafından verilen “localhost” için 2000'den fazla sertifika buldu..

Güvenilir sertifika yetkilileri, adreslerin ilk etapta geçerli olduğunu bile doğrulamaksızın çok fazla sertifika vermişse, başka hangi hataları yaptıklarını merak etmek doğaldır. Belki de başkalarının web sitelerinin saldırganlarına yetkisiz sertifikalar da vermişlerdir..

Genişletilmiş Doğrulama sertifikaları veya EV sertifikaları bu sorunu çözmeye çalışır. SSL sertifikalarıyla ilgili sorunları ve EV sertifikalarının bu sorunları nasıl çözmeye çalıştıklarını ele aldık.

Sahte Sertifika Verilmesi İçin Sertifika Yetkilileri Zorunlu Olabilir

Çok fazla sayıda sertifika yetkilisi olduğu için, dünyanın her yerindeler ve herhangi bir sertifika yetkilisi herhangi bir web sitesine sertifika verebilir, hükümetler sertifika yetkililerini kendi kimliğine bürünmek istedikleri bir site için SSL sertifikası vermeye zorlayabilir.

Bu muhtemelen Google’ın Google’da, Google’ın Fransız sertifika yetkilisi ANSSI tarafından verildiği google.com için sahte bir sertifika bulduğunu keşfetti. Otorite, Fransız hükümetine ya da başka kimseye Google’ın web sitesini taklit etmek ve ortadaki adam saldırılarını kolayca gerçekleştirmek için izin verirdi. ANSSI, sertifikanın Fransız hükümeti tarafından değil, ağın kendi kullanıcılarını gözetlemek için yalnızca özel bir ağda kullanıldığını iddia etti. Bu doğru olsa bile, sertifika verirken ANSSI'nin kendi politikalarını ihlal ederdi..

Mükemmel İleri Gizlilik, Her Yerde Kullanılmaz

Çoğu site, şifrelemeyi kırmayı zorlaştıran bir teknik olan "mükemmel ileri gizlilik" özelliğini kullanmaz. Mükemmel ileri gizlilik olmadan, saldırgan büyük miktarda şifreli veri yakalayabilir ve hepsini tek bir gizli anahtarla çözebilir. NSA'nın ve dünyadaki diğer devlet güvenlik kurumlarının bu verileri topladığını biliyoruz. Bir web sitesi tarafından yıllar sonra kullanılan şifreleme anahtarını keşfederlerse, bu web sitesi ile bağlı olan herkes arasında topladıkları şifreli verilerin şifresini çözmek için kullanabilirler..

Mükemmel ileri gizlilik, her oturum için benzersiz bir anahtar oluşturarak buna karşı korumaya yardımcı olur. Başka bir deyişle, her oturum farklı bir gizli anahtarla şifrelenir, bu nedenle hepsinin kilidi tek bir anahtarla açılamaz. Bu, birinin aynı anda çok miktarda şifreli veri şifresini çözmesini önler. Çok az web sitesi bu güvenlik özelliğini kullandığından, devlet güvenlik kurumlarının gelecekte tüm bu verilerin şifresini çözme olasılığı daha yüksektir..

Orta Saldırılardaki Adam ve Unicode Karakterler

Ne yazık ki, ortadaki adam saldırıları hala SSL ile mümkün. Teoride, halka açık bir Wi-Fi ağına bağlanmak ve bankanızın sitesine erişmek güvenli olmalıdır. Bağlantının güvenli olduğunu biliyorsunuz çünkü HTTPS'nin üzerinde ve HTTPS bağlantısı da bankanıza bağlı olduğunuzu doğrulamanıza yardımcı oluyor.

Uygulamada, bankanızın web sitesine halka açık bir Wi-Fi ağı üzerinden bağlanmak tehlikeli olabilir. Kötü niyetli bir sıcak noktanın, kendisine bağlı insanlara ortadaki adam saldırıları gerçekleştirmesini sağlayan, kullanıma hazır çözümler var. Örneğin, bir Wi-Fi etkin noktası sizin adınıza bankaya bağlanarak veriyi ileri geri gönderiyor ve ortada oturuyor olabilir. Sinsice bir HTTP sayfasına yönlendirebilir ve sizin adınıza HTTPS ile bankaya bağlanabilir.

Aynı zamanda “homografya benzeyen bir HTTPS adresi” de kullanabilir. Bu, bankanızın ekranındakiyle aynı görünen ancak aslında özel Unicode karakterleri kullanan, bu yüzden farklı olan bir adres. Bu son ve en korkunç saldırı türü uluslararası bir alan adı homografı saldırısı olarak bilinir. Unicode karakter setini inceleyin ve Latin alfabesinde kullanılan 26 karakterle temel olarak aynı görünen karakterleri bulun. Belki de bağlı olduğunuz google.com’da bulunanlar aslında o değildir, ancak diğer karakterlerdir..

Halka açık bir Wi-Fi hotspot kullanmanın tehlikelerine baktığımızda bunu daha ayrıntılı olarak ele aldık..

Tabii ki, HTTPS çoğu zaman iyi çalışıyor. Bir kahve dükkanını ziyaret edip Wi-Fi ile bağlantı kurduğunuzda bu kadar akıllı bir orta saldırıyla karşılaşmanız pek mümkün değil. Asıl nokta, HTTPS'nin bazı ciddi problemleri olduğu. Pek çok insan buna güveniyor ve bu sorunların farkında değil, fakat bu mükemmel bir yer değil..

Resim Kredisi: Sarah Joy