HTTPS e SSL sono i protocolli utilizzati per proteggere il web. In effetti, HTTPS utilizza SSL per fare le cose. L'intera idea di questi protocolli è quella di assicurarsi che nessuno possa intercettare i dati importanti che viaggiano sul web. Tuttavia, le cose non sono come sembrano, perché, in realtà, SSL è un disastro.
Non capovolgilo, perché ciò non significa che le crittografie SSL e HTTPS siano inutili per gli utenti sul web. Hanno i loro problemi, ma entrambi sono molto meglio di HTTP in ogni modo possibile.
Problemi con HTTPS e SSL
L'uomo in mezzo agli attacchi
Per qualche strana ragione, gli attacchi di Man in the Middle sono ancora possibili con SSL. Il concetto è semplice; gli utenti dovrebbero essere in grado di connettersi al sito Web della propria banca tramite Wi-Fi pubblico perché la connessione è sicura, d'ora in poi gli aggressori non dovrebbero trovare i mezzi per passare.
Un attacco attraverso questo modulo potrebbe reindirizzare l'utente a un sito Web HTTP che sembra simile a uno sicuro, e da lì gli attaccanti avrebbero creato dei terminali nella speranza di rubare informazioni preziose.
Troppe autorità di certificazione
Il tuo browser web ha un elenco di autorità di certificazione integrate. Tutti i browser Web si fidano solo dei certificati emessi da quelli incorporati. Se gli utenti visitano un sito Web protetto tramite SSL, emetterebbero un certificato e il browser Web procederà a verificare se il sito Web è in grado di assicurarsi che il certificato sia stato progettato per provenire da quella particolare pagina.
Ecco la cosa, perché ci sono così tante autorità di certificazione, i problemi con un singolo certificato potrebbero influenzare tutti. Non è mai buono, e finora non c'è molto che i webmaster possano fare al riguardo.
Autorità di certificazione che rilascia certificati falsi
Incredibilmente, i certificati falsi sono là fuori e causano problemi agli utenti web. E anche Google e altre aziende sono cadute in preda in passato.
Il governo o altri hanno avuto la possibilità di utilizzare questo certificato canaglia per impersonare la pagina ufficiale di Google, che renderebbe possibile eseguire un attacco Man in the Middle. In sua difesa, l'ANSSI ha affermato che il certificato è stato creato per spiare i propri utenti e, in quanto tale, il governo francese non ha avuto accesso ad esso.
A volte alcuni certificati sono falliti
Secondo studi condotti in passato, alcune autorità di certificazione hanno fallito nel consegnare i certificati. Ciò significa che alcuni siti Web potrebbero non richiedere un certificato, ma l'autorità lo consegna comunque. Se questo viene fatto su base regolare, allora si può solo immaginare quali altri errori sono stati fatti e vengono ancora fatti.
