HTTPS czy zabezpiecza
2018.06.02  

Komunikacja między naszym komputerem a żądaną witryną internetową powinna zapewniać bezpieczeństwo transferu danych. Nie zapominajmy, że wchodząc na witryny, dostarczamy im o sobie sporo informacji. Ta wiedza często nam umyka.

Takie bezpieczeństwo transferu zapewnia HTTPS, czyli szyfrowany HTTP. Szyfrowanie SSL/TLS nie tylko potwierdza wiarygodność witryny i jej właściciela, ale także zapobiega przechwytywaniu przesyłanych danych.

W czym więc problem?

Większość przeglądarek traktuje witryny bez literki „s” jako potencjalnie niebezpieczne. Najczęściej użytkownik musi potwierdzić, że rzeczywiście chce na taką stronę wejść.

 

 

Ale, o ile jeszcze kilka lat temu https był rzadko stosowany, gdyż wymagał dodatkowych opłat, o tyle obecnie często jest oferowany razem z domeną i hostingiem w pakiecie. Bez dodatkowej opłaty. Tak więc każdy, również przestępca, może taką domenę kupić. Zakup domeny jest prostszy niż kupno chleba. Bo po chleb trzeba wyjść z domu.

 

Strona z zabawkami, która wyłudzała pieniądze. Posługiwała się poprawnym i autentycznym certyfikatem. Jak widać została zawieszona.

Dla użytkowników, pojawienie się zielonej kłódki przed adresem strony, jest wystarczającym świadectwem jej zabezpieczeń. Kto z nas sprawdza certyfikat i dokładny adres? Przecież nie da się korzystać z Internetu cały czas kontrolując te dane.

Domenę łatwo kupić

I to z „zieloną kłódką”. A spora liczba wyłudzeń polega na podstawieniu witryny o podobnym adresie, różniącym się na przykład tylko jedną literką. Spreparowana witryna, powiedzmy banku, dostarczy złodziejom Twoje dane logowania, a Ty nawet tego nie zauważysz.

Na pytanie tytułowe oczywistą odpowiedzią jest „tak, zabezpiecza”. Ale … zabezpiecza przesył informacji z witryną, której adres widnieje na pasku. Natomiast nie daje, niestety, gwarancji, że jest to witryna, z którą chciałeś się połączyć.

Certyfikat SSL klasy DV (Domain Validation) potwierdza tylko, że dany podmiot ma prawo posługiwać się daną domeną. Czyli pan Kowalski kupił domenę i certyfikat SSL do niej.

Fałszywe certyfikaty i fałszywe domeny

Już w zeszłym roku The Hacker News donosił o odkryciu chińskiego badacza. Korzystając z faktu, że można tworzyć adresy URL korzystając ze znaków w różnych językach (nie tylko alfabetu łacińskiego), a znaki mogą być podobne lub takie same jak łacińskie, można utworzyć adresy „identyczne” jak te znanych i szanowanych domen. Nie wysilając się zbytnio i korzystając wyłącznie z funkcji „wstaw znak specjalny” zapisaliśmy nazwę firmy jako „ехтеІ” (cyrylicą) i „ΕΧΤΕL” (grecki podstawowy).

Wystarczy podpisać taką domenę fałszywym certyfikatem (bo certyfikaty też można sfałszować), albo prawdziwym (przypisanym do fałszywej domeny). Uzyskuje się „zaufaną” domenę, prawie nie do odróżnienia od prawdziwej. Informacje o fałszowaniu certyfikatów ssl pojawiają się już od kilku lat. Ale o tym w innym artykule.

 

 

 

Akademia Extel jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do menadżerów i pracowników firm. O nowych artykułach informujemy poprzez newsletter. Napisz do nas