HTTPS ja SSL on veebi turvalisuse tagamiseks kasutatavad protokollid. Tegelikult kasutab HTTPS toimingute tegemiseks SSL-i. Kogu idee nende protokollidega on tagada, et keegi ei saaks üle kuulata olulisi veebis levitavaid andmeid. Kuid asjad ei ole nii nagu need tunduvad, sest tõsiasi on SSL segaduses.
Ärge muutke seda keerdumiseks, sest see ei tähenda, et SSL-i ja HTTPS-i krüpteeringud oleks veebis olevatele kasutajatele kasutu. Neil on oma probleemid, kuid mõlemad on palju paremad kui HTTP-d igal võimalikul viisil.
Probleemid HTTPS-i ja SSLiga
Mees keset rünnakuid
Mõne ebatavalise põhjuse tõttu on SSLiga ikka võimalik keskmine rünnak. Mõiste on lihtne; kasutajad peaksid suutma ühendada oma panga veebisaidiga üldkasutatava Wi-Fi kaudu, kuna ühendus on turvaline, siis ei peaks ründajad leidma võimalusi libisemist.
Selle vormi rünnak võib suunata kasutajat HTTP-veebisaidile, mis sarnaneb turvalisusega, ja sealt ründajad peaksid looma terminalid, mille eesmärk on varastada väärtuslikku teavet.
Liiga palju sertifikaadiasutusi
Teie veebibrauseris on sisseehitatud sertifikaadiasutuste nimekiri. Kõik veebibrauserid usaldavad ainult sisseehitatud emiteeritud sertifikaate. Kui kasutajad peaksid külastama SSL-iga kaitstud veebisaiti, antakse välja sertifikaat ja veebibrauser jätkab, et kontrollida, kas veebisaidil on kindel, et sertifikaat loodi selle konkreetse lehe saamiseks.
Siin on asi, sest sertifitseerimisasutused on nii paljud, võivad ühe sertifikaadiga seotud probleemid mõjutada kõiki. See pole kunagi hea, ja siiani ei ole sellest palju veebimeistreid.
Võltsertifikaate väljastavad sertifikaadiasutused
Uskumatult on võltsitud tõendid olemas ja põhjustanud veebikasutajatele probleeme. Ja isegi Google ja teised ettevõtted on varem saatuslik.
Valitsusel või teistel oli võimalus seda petturitunnistust kasutada ametliku Google'i lehekülje esilekutsumiseks, mis võimaldaks teha Mees keskmises rünnakus. Kostja vastuses väitis ANSSI, et sertifikaat loodi oma kasutajate spiooniks ja sellisel juhul ei olnud Prantsuse valitsusel seda juurdepääsu.
Mõned sertifikaadid on aeg-ajalt ebaõnnestunud
Minevikus tehtud uuringute kohaselt on mõni sertifikaadi väljaandja sertifikaatide saamisel ebaõnnestunud. See tähendab, et mõned veebisaidid võivad sertifikaati mitte nõuda, kuid asutus edastab selle igal juhul. Kui seda tehakse korrapäraselt, siis saab ainult pilti näidata, milliseid teisi vigu on tehtud ja mida veel tehakse.
