HTTPS un SSL ir protokoli, ko izmanto, lai nodrošinātu tīmekli. Faktiski HTTPS izmanto SSL, lai veiktu lietas. Visa ideja ar šiem protokoliem ir nodrošināt, lai neviens nevarētu pārtvert svarīgos datus, kas pārvietojas tīmeklī. Tomēr lietas nav tādas, kādas šķiet, jo patiesībā SSL ir neskaidrs.
Neizvairieties no tā, jo tas nenozīmē, ka SSL un HTTPS šifrējumi ir nederīgi lietotājiem tīmeklī. Viņiem ir problēmas, taču abi ir daudz labāki nekā HTTP visur.
Problēmas ar HTTPS un SSL
Cilvēks vidū uzbrukumiem
Dažu nepāra iemeslu dēļ joprojām ir iespējams izmantot vidējo uzbrukumu ar SSL. Jēdziens ir vienkāršs; lietotājiem būtu jāspēj izveidot savienojumu ar savas bankas vietni, izmantojot publisko Wi-Fi tīklu, jo savienojums ir drošs, turpmāk uzbrucējiem nevajadzētu atrast līdzekļus, lai to varētu izslīdēt.
Ar šo veidlapu uzbrukums var novirzīt lietotāju uz HTTP vietni, kas izskatās līdzīga drošai, un no turienes uzbrucējiem būtu izveidoti termināļi, kas cerēja nozagt vērtīgu informāciju.
Pārāk daudz sertifikātu iestāžu
Jūsu tīmekļa pārlūkprogrammai ir iebūvēts sertifikātu iestāžu saraksts. Visas tīmekļa pārlūkprogrammas uztic tikai sertifikātiem, kurus izsniedz tie, kas iebūvēti. Ja lietotāji apmeklē vietni, kas ir aizsargāta, izmantojot SSL, tā izsniegs sertifikātu, un tīmekļa pārlūks turpinās pārbaudīt, vai vietne pārliecinās, vai sertifikāts ir paredzēts, lai tas nāk no konkrētās lapas.
Lūk, lieta, jo sertifikātu iestādes ir tik daudz, problēmas ar vienu sertifikātu var ietekmēt visu. Tas nekad nav labs, un līdz šim tīmekļa pārziņiem nav daudz iespēju to darīt.
Sertifikātu iestādes, kas izsniedz viltotas apliecības
Neticami ir viltus sertifikāti, kas rada problēmas interneta lietotājiem. Un pat Google un citi uzņēmumi agrāk ir kļuvuši par to.
Valdībai vai citiem bija iespēja izmantot šo negodīgo sertifikātu, lai uzdoties par oficiālo Google lapu, kas ļautu veikt Cilvēku Vidējā uzbrukumā. Savā aizstāvēšanā ANSSI apgalvoja, ka sertifikāts tika izveidots, lai spiegotu savus lietotājus, un tādēļ Francijas valdībai nebija piekļuves.
Dažos sertifikātos reizēm neizdevās
Saskaņā ar agrāk veiktajiem pētījumiem, sertifikātu izsniegšanas laikā dažas sertificēšanas iestādes nav izpildījušas pienākumus. Tas nozīmē, ka dažās tīmekļa vietnēs, iespējams, nav nepieciešams sertifikāts, bet iestāde tomēr to nodrošina. Ja tas tiek darīts regulāri, tad var attēlot tikai to, kādas citas kļūdas ir veiktas un joprojām tiek veiktas.
