HTTPS và SSL là các giao thức được sử dụng để bảo mật web. Trên thực tế, HTTPS sử dụng SSL để hoàn thành công việc. Toàn bộ ý tưởng với các giao thức này là để đảm bảo không ai có thể nghe trộm dữ liệu quan trọng trên web. Tuy nhiên, mọi thứ không giống như chúng có vẻ như, bởi vì, trong thực tế, SSL là một mớ hỗn độn.
Không bị xoắn, vì điều đó không có nghĩa là mã hóa SSL và HTTPS là vô ích đối với người dùng trên web. Họ có vấn đề của họ, nhưng cả hai đều tốt hơn nhiều so với HTTP theo mọi cách có thể.
Sự cố với HTTPS và SSL
Người đàn ông trong cuộc tấn công giữa
Đối với một số lý do kỳ lạ, Man trong các cuộc tấn công Trung vẫn có thể với SSL. Khái niệm này rất đơn giản; người dùng có thể kết nối với trang web của ngân hàng qua Wi-Fi công cộng vì kết nối an toàn, từ đó đến nay, kẻ tấn công không nên tìm phương tiện để vượt qua.
Một cuộc tấn công thông qua biểu mẫu này có thể chuyển hướng người dùng đến một trang web HTTP trông giống như một trang web được bảo mật và từ đó, những kẻ tấn công sẽ có thiết bị đầu cuối được thiết lập với hy vọng lấy cắp thông tin có giá trị.
Quá nhiều tổ chức phát hành chứng chỉ
Trình duyệt web của bạn có danh sách các tổ chức phát hành chứng chỉ được tích hợp sẵn. Tất cả các trình duyệt web chỉ tin tưởng các chứng chỉ được cấp bởi các trình duyệt được tích hợp sẵn. Nếu người dùng truy cập trang web được bảo mật bằng SSL, trang web sẽ cấp chứng chỉ và trình duyệt web sẽ tiến hành kiểm tra xem trang web có đảm bảo chứng chỉ được thiết kế đến từ trang cụ thể đó không.
Đây là điều, bởi vì có rất nhiều cơ quan cấp chứng chỉ, các vấn đề với một chứng chỉ có thể ảnh hưởng đến tất cả. Điều đó không bao giờ tốt, và cho đến nay, không có nhiều quản trị viên web có thể làm được điều đó.
Cơ quan cấp chứng chỉ cấp chứng chỉ giả
Không thể tin được, các chứng chỉ giả mạo nằm ngoài đó và gây ra sự cố cho người dùng web. Và thậm chí cả Google và các công ty khác đã giảm con mồi của nó trong quá khứ.
Chính phủ hoặc những người khác có khả năng sử dụng chứng chỉ giả mạo này để mạo danh trang Google chính thức, điều này sẽ khiến cho Man có thể thực hiện một cuộc tấn công ở Trung. Trong phòng thủ của mình, ANSSI tuyên bố chứng chỉ được tạo ra để theo dõi người dùng của chính mình, và như vậy, chính phủ Pháp không có quyền truy cập vào nó.
Một số chứng chỉ đã hết hạn không thành công
Theo các nghiên cứu được thực hiện trong quá khứ, một số cơ quan cấp chứng chỉ đã thất bại khi phân phối chứng chỉ. Điều này có nghĩa là một số trang web có thể không yêu cầu chứng chỉ, nhưng chính quyền vẫn phân phối nó. Nếu điều này đang được thực hiện một cách thường xuyên, sau đó người ta chỉ có thể hình dung những sai lầm khác đã được thực hiện và vẫn đang được thực hiện.
