Beranda » bagaimana » 5 Masalah Serius dengan HTTPS dan Keamanan SSL di Web

    5 Masalah Serius dengan HTTPS dan Keamanan SSL di Web

    HTTPS, yang menggunakan SSL, memberikan verifikasi dan keamanan identitas, sehingga Anda tahu Anda terhubung ke situs web yang benar dan tidak ada yang bisa menguping Anda. Itulah teorinya. Dalam praktiknya, SSL di web agak berantakan.

    Ini tidak berarti bahwa enkripsi HTTPS dan SSL tidak berharga, karena mereka jelas jauh lebih baik daripada menggunakan koneksi HTTP yang tidak dienkripsi. Bahkan dalam skenario terburuk, koneksi HTTPS yang dikompromikan hanya akan tidak aman seperti koneksi HTTP.

    Banyaknya Otoritas Sertifikat

    Browser Anda memiliki daftar built-in otoritas sertifikat tepercaya. Browser hanya mempercayai sertifikat yang dikeluarkan oleh otoritas sertifikat ini. Jika Anda mengunjungi https://example.com, server web di example.com akan menyajikan sertifikat SSL kepada Anda dan browser Anda akan memeriksa untuk memastikan bahwa sertifikat SSL situs web dikeluarkan untuk example.com oleh otoritas sertifikat tepercaya. Jika sertifikat dikeluarkan untuk domain lain atau jika tidak dikeluarkan oleh otoritas sertifikat tepercaya, Anda akan melihat peringatan serius di browser Anda.

    Satu masalah utama adalah bahwa ada begitu banyak otoritas sertifikat, sehingga masalah dengan satu otoritas sertifikat dapat mempengaruhi semua orang. Misalnya, Anda mungkin mendapatkan sertifikat SSL untuk domain Anda dari VeriSign, tetapi seseorang dapat berkompromi atau menipu otoritas sertifikat lain dan mendapatkan sertifikat untuk domain Anda juga.

    Otoritas Sertifikat Tidak Selalu Terinspirasi Keyakinan

    Penelitian telah menemukan bahwa beberapa otoritas sertifikat telah gagal melakukan uji tuntas yang minimal saat menerbitkan sertifikat. Mereka telah mengeluarkan sertifikat SSL untuk jenis alamat yang seharusnya tidak memerlukan sertifikat, seperti "localhost," yang selalu mewakili komputer lokal. Pada 2011, EFF menemukan lebih dari 2000 sertifikat untuk "localhost" yang dikeluarkan oleh otoritas sertifikat yang sah dan tepercaya.

    Jika otoritas sertifikat tepercaya telah menerbitkan begitu banyak sertifikat tanpa memverifikasi bahwa alamat tersebut bahkan valid di tempat pertama, wajar saja untuk bertanya-tanya kesalahan apa yang telah mereka buat. Mungkin mereka juga telah mengeluarkan sertifikat tidak sah untuk situs web orang lain kepada penyerang.

    Sertifikat Validasi Diperpanjang, atau sertifikat EV, berupaya menyelesaikan masalah ini. Kami telah membahas masalah dengan sertifikat SSL dan bagaimana sertifikat EV berupaya menyelesaikannya.

    Otoritas Sertifikat Dapat Dipaksa Menerbitkan Sertifikat Palsu

    Karena ada begitu banyak otoritas sertifikat, mereka ada di seluruh dunia, dan otoritas sertifikat apa pun dapat mengeluarkan sertifikat untuk situs web apa pun, pemerintah dapat memaksa otoritas sertifikat untuk menerbitkan sertifikat SSL untuk situs yang ingin mereka tiru..

    Ini mungkin terjadi baru-baru ini di Perancis, di mana Google menemukan sertifikat jahat untuk google.com telah dikeluarkan oleh otoritas sertifikat Perancis ANSSI. Pihak berwenang akan mengizinkan pemerintah Prancis atau siapa pun yang memiliki itu untuk menyamar sebagai situs web Google, dengan mudah melakukan serangan man-in-the-middle. ANSSI mengklaim sertifikat itu hanya digunakan pada jaringan pribadi untuk mengintip pengguna jaringan itu sendiri, bukan oleh pemerintah Prancis. Bahkan jika ini benar, itu akan menjadi pelanggaran kebijakan ANSSI sendiri ketika menerbitkan sertifikat.

    Kerahasiaan Maju Sempurna Tidak Digunakan Di Mana Saja

    Banyak situs tidak menggunakan "kerahasiaan ke depan yang sempurna," suatu teknik yang akan membuat enkripsi lebih sulit untuk diretas. Tanpa kerahasiaan ke depan yang sempurna, penyerang dapat menangkap sejumlah besar data terenkripsi dan mendekripsi semuanya dengan satu kunci rahasia. Kita tahu bahwa NSA dan agen keamanan negara lainnya di seluruh dunia menangkap data ini. Jika mereka menemukan kunci enkripsi yang digunakan oleh sebuah situs web bertahun-tahun kemudian, mereka dapat menggunakannya untuk mendekripsi semua data terenkripsi yang telah mereka kumpulkan antara situs web itu dan semua orang yang terhubung dengannya.

    Kerahasiaan penerusan sempurna membantu melindungi hal ini dengan menghasilkan kunci unik untuk setiap sesi. Dengan kata lain, setiap sesi dienkripsi dengan kunci rahasia yang berbeda, sehingga tidak bisa dibuka dengan satu kunci. Ini mencegah seseorang dari mendekripsi sejumlah besar data terenkripsi sekaligus. Karena sangat sedikit situs web yang menggunakan fitur keamanan ini, kemungkinan besar agen keamanan negara dapat mendekripsi semua data ini di masa depan.

    Manusia dalam Serangan Tengah dan Karakter Unicode

    Sayangnya, serangan man-in-the-middle masih dimungkinkan dengan SSL. Secara teori, aman untuk terhubung ke jaringan Wi-Fi publik dan mengakses situs bank Anda. Anda tahu bahwa koneksi aman karena lebih dari HTTPS, dan koneksi HTTPS juga membantu Anda memverifikasi bahwa Anda benar-benar terhubung ke bank Anda.

    Dalam praktiknya, bisa berbahaya untuk terhubung ke situs web bank Anda di jaringan Wi-Fi publik. Ada solusi di luar rak yang dapat membuat hotspot berbahaya melakukan serangan man-in-the-middle pada orang-orang yang terhubung dengannya. Misalnya, hotspot Wi-Fi mungkin terhubung ke bank atas nama Anda, mengirim data bolak-balik dan duduk di tengah. Itu bisa secara diam-diam mengarahkan Anda ke halaman HTTP dan terhubung ke bank dengan HTTPS atas nama Anda.

    Bisa juga menggunakan "alamat HTTPS yang mirip homograf." Ini adalah alamat yang terlihat identik dengan bank Anda di layar, tetapi yang sebenarnya menggunakan karakter Unicode khusus sehingga berbeda. Jenis serangan terakhir dan paling menakutkan ini dikenal sebagai serangan homograf nama domain yang diinternasionalkan. Periksa kumpulan karakter Unicode dan Anda akan menemukan karakter yang pada dasarnya identik dengan 26 karakter yang digunakan dalam alfabet Latin. Mungkin huruf o di google.com yang terhubung dengan Anda sebenarnya bukan huruf o, tetapi karakter lain.

    Kami membahas ini secara lebih rinci ketika kami melihat bahaya menggunakan hotspot Wi-Fi publik.


    Tentu saja, HTTPS berfungsi dengan baik hampir sepanjang waktu. Tidak mungkin Anda akan menemukan serangan man-in-the-middle yang begitu pintar ketika Anda mengunjungi kedai kopi dan terhubung ke Wi-Fi mereka. Poin sebenarnya adalah bahwa HTTPS memiliki beberapa masalah serius. Kebanyakan orang mempercayainya dan tidak menyadari masalah ini, tetapi tidak ada yang sempurna.

    Kredit Gambar: Sarah Joy