5 웹에서 HTTPS 및 SSL 보안과 관련된 심각한 문제
SSL을 사용하는 HTTPS는 신원 확인 및 보안 기능을 제공하므로 올바른 웹 사이트에 연결되어 있고 누구도 사용자를 도청 할 수 없습니다. 어쨌든 그것은 이론입니다. 실제로 웹상의 SSL은 다소 혼란 스럽습니다..
이것은 HTTPS 및 SSL 암호화가 암호화되지 않은 HTTP 연결을 사용하는 것보다 훨씬 낫기 때문에 가치가 없다는 것을 의미하지는 않습니다. 최악의 시나리오 인 경우에도 손상된 HTTPS 연결은 HTTP 연결만큼 불안정합니다..
깎아 지른 인증 기관 수
브라우저에는 신뢰할 수있는 인증 기관 목록이 내장되어 있습니다. 브라우저는 이러한 인증 기관에서 발급 한 인증서 만 신뢰합니다. https://example.com을 방문한 경우 example.com의 웹 서버에서 SSL 인증서를 제공하고 브라우저는 신뢰할 수있는 인증 기관에서 example.com에 대해 웹 사이트의 SSL 인증서를 발급했는지 확인합니다. 인증서가 다른 도메인에 발급되었거나 신뢰할 수있는 인증 기관에서 발급 한 것이 아니면 브라우저에 심각한 경고가 표시됩니다.
하나의 큰 문제는 많은 인증 기관이 있으므로 한 인증 기관의 문제가 모든 사람에게 영향을 줄 수 있다는 것입니다. 예를 들어, VeriSign에서 도메인에 대한 SSL 인증서를 얻을 수는 있지만 다른 사람이 다른 인증 기관을 손상 시키거나 트릭하여 도메인 인증서를 가져올 수 있습니다..
인증 기관은 항상 자신감을 얻지 못했습니다.
몇몇 인증 기관은 인증서 발급시 최소한의 실사까지도하지 못했다는 연구 결과가 있습니다. 그들은 항상 로컬 컴퓨터를 나타내는 "localhost"와 같이 인증서가 필요없는 유형의 주소에 대해 SSL 인증서를 발급했습니다. 2011 년 EFF는 합법적 인 신뢰할 수있는 인증 기관에서 발급 한 "localhost"에 대한 2000 개 이상의 인증서를 발견했습니다..
신뢰할 수있는 인증 기관이 주소가 처음부터 유효하다는 것을 확인하지 않고 많은 인증서를 발급 한 경우 다른 실수가 무엇인지 궁금해하는 것이 당연합니다. 다른 사람들의 웹 사이트에 대한 인증되지 않은 인증서를 공격자에게 발행했을 수도 있습니다..
확장 유효성 검사 인증서 또는 EV 인증서는이 문제를 해결하려고 시도합니다. SSL 인증서의 문제점과 EV 인증서로 문제를 해결하는 방법에 대해 설명했습니다..
인증 기관이 위조 된 인증서 발급을 강요받을 수 있음
인증 기관은 매우 많기 때문에 전 세계에 걸쳐 있으며 모든 인증 기관이 모든 웹 사이트에 인증서를 발급 할 수 있으므로 정부는 가장 할 사이트에 대해 SSL 인증서를 발급하도록 인증 기관에 요청할 수 있습니다.
최근 프랑스에서 Google이 google.com에 대한 불량 인증서가 프랑스 인증 기관인 ANSSI에 의해 발급되었음을 발견 한 것으로 보입니다. 당국은 프랑스 정부 나 다른 사람이 Google 웹 사이트를 사칭하여 중간자 공격을 쉽게 수행하도록 허용했을 것입니다. ANSSI는이 인증서가 사설망에서만 사용되어 프랑스 정부가 아닌 네트워크 사용자를 스누핑한다고 주장했다. 이것이 사실 일지라도 인증서를 발급 할 때 ANSSI 자체 정책을 위반하게됩니다..
완전한 전방 기밀은 어디에서나 사용되지 않습니다.
많은 사이트에서 암호화를 어렵게 만드는 기술인 "완벽한 전달 비밀"을 사용하지 않습니다. 완벽한 전달 비밀이 없으면 공격자는 대량의 암호화 된 데이터를 캡처하여 단일 비밀 키로 해독 할 수 있습니다. 우리는 NSA 및 전세계의 다른 주 보안 기관이이 데이터를 수집하고 있음을 알고 있습니다. 몇 년 후 웹 사이트에서 사용한 암호화 키를 발견하면 해당 웹 사이트와 연결된 모든 사람간에 수집 한 암호화 된 데이터를 모두 해독하는 데 사용할 수 있습니다.
완벽한 전달 비밀은 각 세션에 대해 고유 한 키를 생성하여이를 방지하는 데 도움이됩니다. 즉, 각 세션은 다른 비밀 키로 암호화되므로 단일 키로 모두 잠금을 해제 할 수 없습니다. 이렇게하면 누군가가 엄청난 양의 암호화 된 데이터를 한 번에 해독 할 수 없게됩니다. 이 보안 기능을 사용하는 웹 사이트는 거의 없으므로 주 보안 기관이 앞으로이 데이터를 모두 해독 할 가능성이 큽니다..
중간 공격 및 유니 코드 캐릭터의 남자
안타깝게도 중간자 공격은 여전히 SSL로 가능합니다. 이론 상으로는 공공 Wi-Fi 네트워크에 연결하고 은행 사이트에 액세스하는 것이 안전해야합니다. HTTPS를 통해 연결이 안전하다는 것을 알고 있으며 HTTPS 연결은 또한 실제로 은행에 연결되어 있는지 확인하는 데 도움이됩니다..
실제로는 공용 Wi-Fi 네트워크를 통해 은행의 웹 사이트에 연결하는 것이 위험 할 수 있습니다. 악의적 인 핫스팟에는 연결할 사람에게 중간자 (man-in-the-middle) 공격을 수행 할 수있는 기성품 솔루션이 있습니다. 예를 들어, Wi-Fi 핫 스폿이 사용자를 대신하여 은행에 연결하여 데이터를주고 받고 중간에 앉아있을 수 있습니다. 그것은 당신을 몰래 HTTP 페이지로 리다이렉하고 당신을 대신해 HTTPS를 사용하여 은행에 연결할 수 있습니다..
또한 "호모 그래프 비슷한 HTTPS 주소"를 사용할 수도 있습니다.이 주소는 은행의 화면과 동일하게 보이지만 실제로는 특수한 유니 코드 문자를 사용하므로 다른 주소입니다. 마지막으로 가장 무서운 유형의 공격은 국제화 된 도메인 이름 동형 그래프 공격이라고합니다. 유니 코드 문자 집합을 살펴보면 라틴 알파벳에 사용 된 26 자와 기본적으로 동일한 문자를 찾을 수 있습니다. 어쩌면 당신이 연결되어있는 google.com의 o는 실제로 o가 아니지만 다른 문자입니다..
공용 Wi-Fi 핫스팟을 사용할 때의 위험을 살펴보면서이 문제를보다 자세히 설명했습니다..
물론 HTTPS는 대부분 잘 작동합니다. 커피 숍을 방문하여 Wi-Fi에 연결할 때 그런 현란한 man-in-the-middle 공격을 접할 가능성은 거의 없습니다. 진짜 요점은 HTTPS에 심각한 문제가 있다는 것입니다. 대부분의 사람들은 그것을 신뢰하고 이러한 문제를 인식하지 못합니다. 그러나 그것은 완벽한 곳이 아닙니다..
이미지 크레딧 : Sarah Joy