О проблемах с HTTPS и SSL люди не говорят

HTTPS и SSL — это протоколы, используемые для защиты Интернета. На самом деле HTTPS использует SSL для достижения цели. Вся идея этих протоколов заключается в том, чтобы никто не мог подслушивать важные данные, передаваемые через Интернет. Однако все не так, как кажется, потому что, по правде говоря, SSL — путаница.

Не запутайтесь, поскольку это не означает, что шифрование SSL и HTTPS бесполезно для пользователей в Интернете. У них есть свои проблемы, но оба они намного лучше, чем HTTP, всеми возможными способами.

Проблемы с HTTPS и SSL

Давайте отметим несколько проблем с HTTPS и SSL

Человек в середине атаки

По какой-то странной причине атаки типа «человек посередине» все еще возможны с использованием SSL. Концепция проста; пользователи должны иметь возможность подключаться к веб-сайту своего банка по общедоступной сети Wi-Fi, поскольку соединение является безопасным, поэтому злоумышленники не должны находить способы проникновения.

Атака с помощью этой формы может перенаправить пользователя на HTTP-сайт, который выглядит как защищенный, и оттуда злоумышленникам будут настроены терминалы в надежде украсть ценную информацию.

Слишком много центров сертификации

Ваш веб-браузер имеет встроенный список центров сертификации. Все веб-браузеры доверяют только сертификатам, выпущенным встроенными. Если пользователи посещают веб-сайт, защищенный с помощью SSL, он выдаст сертификат, и веб-браузер продолжит проверку того, был ли веб-сайт создан для того, чтобы сертификат был создан с этой конкретной страницы.

Дело в том, что, поскольку существует очень много центров сертификации, проблемы с одним сертификатом могут затронуть все. Это никогда не бывает хорошо, и пока что вебмастерам не так уж много с этим поделать.

Центры сертификации, выдающие поддельные сертификаты

Невероятно, фальшивые сертификаты существуют и создают проблемы для веб-пользователей. И даже Google и другие компании стали жертвами этого в прошлом.

Правительство или другие лица имели возможность использовать этот мошеннический сертификат, чтобы выдать себя за официальную страницу Google, что позволило бы выполнить атаку «Человек посередине». В свою защиту ANSSI утверждала, что сертификат был создан, чтобы шпионить за его собственными пользователями, и поэтому правительство Франции не имело к нему доступа.

Некоторые сертификаты время от времени терпели неудачу

Согласно исследованиям, проведенным в прошлом, некоторые центры сертификации потерпели неудачу при выдаче сертификатов. Это означает, что некоторые веб-сайты могут не требовать сертификат, но власти все равно его предоставляют. Если это делается на регулярной основе, то можно только представить, какие другие ошибки были допущены и все еще совершаются.

Оцените статью
TechArks.Ru
Добавить комментарий