HTTPS,que utiliza SSL ,proporciona verificacion de la identidad y la seguridad, para que usted sepa que estan conectados al sitio correcto y no se puede escuchar. Esa es la teoria, de todos modos. En la practica, SSL en la web es una especie de caos.
Esto no significa que HTTPS y cifrado SSL no valen nada, ya que son sin duda mucho mejor que si las conexiones HTTP sin cifrar . Incluso en el peor de los casos, una conexion HTTPS peligro sera tan insegura como una conexion HTTP .
El gran numero de autoridades de certificacion
Su navegador tiene una lista de autoridades de certificacion de confianza. Los navegadores solo confiar en los certificados emitidos por estas autoridades de certificacion. Si se ha visitado https://example.com, el servidor web de example.com que presente un certificado SSL para usted y su navegador comprobar para asegurarse de que el certificado SSL del sitio web de example.com fue publicado por una autoridad de certificacion de confianza. Si el certificado fue emitido por otro dominio o si no se hubiere expedido por una autoridad de certificacion de confianza, que podrias ver una seria advertencia en el navegador.
Uno de los principales problemas es que hay muchas autoridades de certificacion, por lo que los problemas con una autoridad de certificacion puede afectar a cualquiera. Por ejemplo, puede obtener un certificado SSL para su dominio de VeriSign, pero alguien podria comprometer o truco otra autoridad de certificacion y obtener un certificado para su dominio.
Las autoridades de certificacion no siempre han inspirado confianza
Los estudios han encontrado que algunas autoridades de certificacion no han hecho ni siquiera minima diligencia debida al emitir certificados. Que hayan expedido los certificados SSL para los tipos de direcciones que nunca debe exigir un certificado, como «localhost», el cual siempre representa el equipo local. En 2011, la EFF ha encontrado mas de 2000 certificados para el «localhost» publicado por legitimate,autoridades de certificacion de confianza.
Si autoridades de certificacion de confianza han emitido tantos certificados sin verificar que las direcciones son validas incluso en primer lugar, es natural preguntarse que otros errores que han cometido. Tal vez ellos tambien han emitido certificados no autorizados por otros sitios web a los atacantes.
Las autoridades de certificacion puede ser obligada a expedir certificados falsos
Debido a que existen tantas autoridades de certificacion, que son en todo el mundo, y cualquier autoridad de certificacion puede emitir un certificado para cualquier sitio web, los gobiernos podrian obligar a las autoridades de certificados para emitir un certificado SSL en un sitio que desee representar.
Esto probablemente ha ocurrido recientemente en Francia , donde Google descubrieron un rogue certificado por google ha sido emitido por autoridad de certificacion frances ANSSI. La autoridad habria permitido al gobierno frances o quien ha de suplantar sitio web de Google y realizar ataques man-in-the-middle. Segun ANSSI el certificado solo se utiliza en una red privada para espiar en la red de los usuarios, no por el gobierno frances. Incluso si esto fuera cierto, seria una violacion de las politicas de ANSSI cuando emision de certificados.
Secreto de reenvio perfecto no se utiliza en todas partes
Muchos sitios no use «perfect forward secrecy», una tecnica que cifrado mas dificil de descifrar. Sin perfect forward secrecy, un atacante podria capturar una gran cantidad de datos cifrados y descifrar todo con una unica clave secreta. Sabemos que la NSA y demas organismos de seguridad del estado en todo el mundo estan capturando los datos. Si se descubre la clave de cifrado utilizada en un sitio web anos mas tarde, se puede utilizar para descifrar los datos cifrados que se han recogido entre este sitio web y a todos los que esten conectados a ella.
Secreto de reenvio perfecto ayuda a proteger contra esta generando una clave unica para cada sesion. En otras palabras, cada uno de los periodos de sesiones se cifra con una clave secreta, por lo que no puede ser desbloqueado con una sola tecla. Esto evita que alguien pueda descifrar una enorme cantidad de datos cifrados de una vez por todas. Debido a que muy pocos sitios web utilizan esta caracteristica de seguridad, es mas probable que organismos de seguridad del estado pudiera descifrar todos los datos en el futuro.
El hombre en el medio los ataques y caracteres Unicode
Lamentablemente, el hombre-en-el-medio siguen siendo posibles ataques con SSL . En teoria, deberia ser seguro para conectarse a una Wi-Fi publica y acceder a su sitio del banco. Usted sabe que la conexion es segura porque es a traves de HTTPS y la conexion HTTPS tambien le ayuda a comprobar que en realidad esta conectado a su banco.
En la practica, que puede ser peligroso para conectarse a su sitio en la web del banco en una Wi-Fi publica . Hay soluciones de mercado que pueden tener un punto malicioso realizar ataques man-in-the-middle sobre aquellas personas que se conectan a ella. Por ejemplo, una conexion Wi-Fi hotspot puede conectarse al banco en su nombre, el envio de datos hacia adelante y hacia atras y sentarse en el medio. Sigilosamente Se podria redirigir a una pagina HTTP y conectar al banco, con HTTPS en su nombre.
Tambien puede utilizar un » homograph-similar HTTPS address.» Esta es una direccion que parece identico a sus bancos en la pantalla, pero que en realidad utiliza caracteres Unicode por lo especial que es diferente. Este ultimo y aterrador tipo de ataque se conoce como un nombre de dominio internacionalizado homograph ataques. Examinar el conjunto de caracteres Unicode y encontrara personajes cuyo aspecto basicamente identico a los 26 caracteres que se utilizan en el alfabeto latino. Tal vez la junta en el google.com a la que esta conectado no son en realidad s’s, pero son otros personajes.
Por supuesto, HTTPS funciona bien la mayor parte del tiempo. Es poco probable que se encuentre con un inteligente ataque de hombre en el medio cuando se visita un cafe y se conectan a sus Wi-Fi. El punto real es que HTTPS tiene algunos problemas serios. La mayoria de las personas confian en el y no son conscientes de estos problemas, pero que no estaba casi perfecto.