[Weboldalépítési tudás] HTTPS Ezek (1) HTTPS elv (újranyomás)

Néhány nappal ezelőtt megjelent pletyka: "Veszélyezteti a nyilvános WiFi-vel rendelkező internet-hozzáférés a bankszámlák biztonságát? A cikk néhány helyzetet mutat be az HTTPS hálózati titkosított átvitel alkalmazásában, és a válasz alapján még mindig vannak viták. Ahogy az internet egyre népszerűbbé válik, az alkalmazás egyre elterjedtebb, és néhány hálózati biztonsági kérdés egyre nagyobb figyelmet kelt a netek körében is, itt a TLS/SSL-ről beszélünk, amit gyakran HTTPS-nek hívunk, az elvtől az alkalmazásig, hogy lássuk, mi az, és milyen problémákra kell figyelni a HTTPS és kapcsolódó biztonsági technikák használatakor.

A kiberbiztonság egy holisztikus esemény, amely magában foglalja a személyi számítógépek, protokollok, adatátviteli és szoftverfejlesztő cégek és weboldalak biztonságát. Remélem, hogy a jövőben a biztonsággal kapcsolatos problémák apránkénti magyarázatával egyre többen értik meg a hálózati biztonságot, így biztonságosabban tudják használni a hálózatot.

A cikk hosszú lesz, és egyelőre három részre osztják meg:

Az első rész főként az HTTPS elvét írja le; A második rész főként az SSL tanúsítvány ellenőrzésének folyamatát és néhány óvintézkedést írja le a használatra. A harmadik rész néhány HTTPS támadási esetet mutat be.

Mielőtt az HTTPS-ről beszélnénk, beszéljünk arról, mi az a HTTP, ami egy olyan protokoll, amit általában használunk a webes böngészéskor. Az HTTP protokoll által továbbított adatok titkosítatlanok, azaz tiszta szövegűek, így nagyon veszélyes privát információkat továbbítani a HTTP protokollon. Annak érdekében, hogy ezek a privát adatok titkosíthatók és továbbíthatók legyenek, a Netscape megtervezte az SSL (Secure Sockets Layer) protokollt, amely titkosítja az HTTP protokoll által továbbított adatokat, így született meg az HTTPS világa. Az SSL jelenlegi verziója 3.0, amelyet az IETF (Internet Engineering Task Force) az RFC 6101-ben definiál, majd az IETF frissítette az SSL 3.0-t, így létrejött a TLS (Transport Layer Security) 1.0, amelyet az RFC 2246 definiál. Valójában a jelenlegi HTTPS-nk a TLS protokoll, de mivel az SSL viszonylag korán megjelent, és a jelenlegi böngészők is támogatják, az SSL továbbra is szinonimája az HTTPS-nek, de hogy TLS-ről vagy SSL-ről van szó, az az elmúlt évszázad története, az az SSL utolsó verziója 3.0, és a TLS a jövőben is továbbra is titkosítási szolgáltatásokat fog nyújtani számunkra. A TLS jelenlegi verziója 1.2, amelyet az RFC 5246 definiál, és még nem széles körben használják.

Akik érdeklődnek a történelem iránt, akkor a http://en.wikipedia.org/wiki/Transport_Layer_Security-re hivatkozhatnak, amely részletes leírást tartalmaz a TLS/SSL-ről.

A válasz: igen, biztonságos. A következő hetekben a Google engedélyezi az HTTPS-t a világ minden helyi domainjén, a felhasználóknak csak a Google fiókjukkal kell bejelentkezniük a keresés előtt, és minden keresési műveletet a TLS protokoll segítségével titkosítva fognak látni, lásd a következőket: http://thenextweb.com/google/2012/03/05/google-calls-for-a-more-secure-web-expands-ssl-encryption-to-local-domains/。

Az HTTPS kézfogást igényel az ügyfél (böngésző) és a szerver (weboldal) között az adatátvitel előtt, és mindkét fél jelszóadatai a kézfogás során megjelennek a folyamat során. A TLS/SSL protokoll nemcsak titkosított átviteli protokollok halmaza, hanem művészek által gondosan megtervezett műalkotás, aszimmetrikus titkosítást, szimmetrikus titkosítást és HASH algoritmusokat alkalmazva. A kézfogás folyamatának egyszerű leírása a következő:

   4. Az adatok megérkezése után a weboldal a következőket teszi:

   5. A böngésző dekódolja és kiszámítja a kézfogás üzenet HASH-jét, ha az összhangban van a szerver által küldött HASH-tel, a kézfogási folyamat véget ér, és az összes kommunikációs adatot az előző böngésző által generált véletlenszerű jelszóval titkosítva a szimmetrikus titkosítási algoritmus alkalmazásával.

Itt a böngésző és a weboldal titkosított kézfogási üzenetet küld egymásnak és ellenőrzik őket, hogy mindkét fél megszerezze ugyanazt a jelszót, és képes legyen titkosítani és dekódolni az adatokat, valamint tesztet végezzen a valódi adatok későbbi továbbítására. Ezen felül a HTTPS által leggyakrabban használt titkosítási és HASH algoritmusok a következők:

Ezek közül az aszimmetrikus titkosítási algoritmus a generált jelszó titkosítására a kézfogás során, a szimmetrikus titkosítási algoritmus a valós továbbított adatok titkosításához, míg a HASH algoritmus az adatok integritásának ellenőrzésére. Mivel a böngésző által generált jelszó a teljes adat titkosításának kulcsa, az adatátvitel során aszimmetrikus titkosítási algoritmussal titkosítják. Az aszimmetrikus titkosítási algoritmus nyilvános és privát kulcsokat generál, a nyilvános kulcsokat csak az adatok titkosítására használhatják, így azok bármikor továbbíthatók, a weboldal privát kulcsait pedig az adatok visszafejtésére használják, így a weboldal nagyon óvatosan tartja a privát kulcsot a szivárgás elkerülése érdekében.

Bármilyen hiba a TLS kézfogás során megtörheti a titkosított kapcsolatot, megakadályozva a privát információk továbbítását. Éppen azért, mert az HTTPS nagyon biztonságos, a támadók nem találnak kiindulópontot, ezért hamis tanúsítványokat használnak, hogy megtévesszék az ügyfeleket a tiszta szöveges információk megszerzésére, de ezek a módszerek azonosíthatók, amiről egy későbbi cikkben fogok beszélni. Azonban 2010-ben a biztonsági szakértők egy sebezhetőséget fedeztek fel a TLS 1.0 protokoll kezelésében: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/ valójában ezt a BEAST nevű támadási módszert már 2002-ben fedezték fel a biztonsági szakértők, de nem hozták nyilvánosságra. A Microsoft és a Google már javította ezt a sebezhetőséget. Lásd: http://support.microsoft.com/kb/2643584/en-us https://src.chromium.org/viewvc/chrome?view=rev&revision=90643

Az HTTPS egyszerűsített változata szimmetrikus titkosítás és aszimmetrikus titkosítás esetén is működik.