8

Iran wystawił fałszywe certyfikaty i podsłuchiwał ruch obywateli – jak jest z tym bezpieczeństwem HTTPS?

Wciąż istnieje wiele serwisów, które zbierają dane użytkownika czy przesyłają hasła, ale nie robią tego za pomocą połączeń szyfrowanych. Takie dane, często poufne, wędrują potem po całym internecie niczym pocztówka, którą każdy może przeczytać. Z tego powodu standard HTTPS jest szeroko promowany między innymi poprzez kampanie typu HTTPS Now. Z drugiej strony zakup certyfikatu często […]

Wciąż istnieje wiele serwisów, które zbierają dane użytkownika czy przesyłają hasła, ale nie robią tego za pomocą połączeń szyfrowanych. Takie dane, często poufne, wędrują potem po całym internecie niczym pocztówka, którą każdy może przeczytać. Z tego powodu standard HTTPS jest szeroko promowany między innymi poprzez kampanie typu HTTPS Now. Z drugiej strony zakup certyfikatu często jest zbyt dużym wydatkiem dla właścicieli stron internetowych czy też powoduje większe obciążenie serwera. Sami użytkownicy również nie są świadomi istnienia takiego protokołu i zagrożeń z nim związanych. Nie jest to zatem rozwiązanie idealne. Potwierdziło to najnowsze odkrycie jednego z irańskich internautów, który dowiódł, że rząd wystawił podrobione certyfikaty by podsłuchiwać swoich obywateli.

Jak donosi niebezpiecznik, jeden z użytkowników przeglądarki Chrome wykrył, iż rząd jego kraju stworzył aż przeszło 200 fałszywych certyfikatów dla najpopularniejszych stron internetowych takich jak Google. Udało się to dzięki temu, że gigant zakodował na stałe w Chrome listę swoich certyfikatów, dzięki czemu udało się porównać certyfikat łaszywy z oryginalnym.


Czy szyfrowanie sprzętowe wykonywane na każdym urządzeniu użytkownika nie jest lepszym rozwiązaniem?

Po samym odkryciu naruszenia bezpieczeństwa, użytkownik opublikował w internecie informacje na ten temat, co spowodowało szybki odzew twórców przeglądarek. Chrome, Firefox i Opera czym prędzej wprowadziły poprawki do kodu, blokując na stałe w swoich przeglądarkach owe fałszywe certyfikaty. Następnie podjęta została decyzja o tym, by na stałe wprowadzić blokadę wszystkich certyfikatów wychodzących od tzw. urzędu certyfikacji w osobie holenderskiej firmy DigiNotar. To właśnie ta firma we współpracy z irańskim rządem wystawiła owe fałszywe certyfikaty.

Jak zatem wyraźnie widzimy, protokół HTTPS nie jest lekiem na całe zło. Istnieje wiele luk w takim rozwiązaniu szyfrowanego ruchu. Jednym z nich jest właśnie nieuczciwa współpraca urzędów certyfikacji z rządami wybranych państw. Potrzeba innego rozwiązania, które uczyniłoby internet w pełni neutralnym.