HTTPS, yang menggunakan SSL, memberikan verifikasi dan keamanan identitas, sehingga Anda tahu bahwa Anda terhubung ke situs web yang benar dan tidak ada yang dapat menguping Anda. Itulah teorinya. Dalam praktiknya, SSL di web agak berantakan.
Ini tidak berarti bahwa HTTPS dan enkripsi SSL tidak berharga, karena mereka pasti jauh lebih baik daripada menggunakan koneksi HTTP yang tidak terenkripsi. Bahkan dalam skenario terburuk, koneksi HTTPS yang dikompromikan hanya akan sama tidak amannya seperti koneksi HTTP.
Browser Anda memiliki daftar otoritas otoritas terpercaya yang sudah ada di dalamnya. Peramban hanya percaya sertifikat yang dikeluarkan oleh otoritas sertifikat ini. Jika Anda mengunjungi https://example.com, server web di example.com akan memberikan sertifikat SSL kepada Anda dan peramban Anda akan memeriksa untuk memastikan bahwa sertifikat SSL situs web dikeluarkan untuk example.com oleh otoritas sertifikat tepercaya. Jika sertifikat dikeluarkan untuk domain lain atau jika tidak dikeluarkan oleh otoritas sertifikat tepercaya, Anda akan melihat peringatan serius di browser Anda.
Satu masalah utama adalah bahwa ada begitu banyak otoritas sertifikat, jadi masalah dengan satu otoritas sertifikat dapat memengaruhi semua orang. Misalnya, Anda mungkin mendapatkan sertifikat SSL untuk domain Anda dari VeriSign, tetapi seseorang dapat berkompromi atau mengelabui otoritas sertifikat lain dan mendapatkan sertifikat untuk domain Anda juga.
Penelitian telah menemukan bahwa beberapa otoritas sertifikat gagal melakukan uji tuntas minimal ketika mengeluarkan sertifikat. Mereka telah mengeluarkan sertifikat SSL untuk jenis alamat yang seharusnya tidak memerlukan sertifikat, seperti ‚Äúlocalhost,‚ Äù yang selalu mewakili komputer lokal. Pada tahun 2011, EFF menemukan lebih dari 2000 sertifikat untuk ‚Äúlocalhost‚Äù yang dikeluarkan oleh otoritas sertifikat yang sah dan tepercaya.
Jika otoritas sertifikat tepercaya telah mengeluarkan begitu banyak sertifikat tanpa memverifikasi bahwa alamat tersebut bahkan berlaku di tempat pertama, wajar saja untuk bertanya-tanya apa kesalahan lain yang telah mereka buat. Mungkin mereka juga telah mengeluarkan sertifikat yang tidak sah untuk situs web orang lain kepada penyerang.
Sertifikat Validasi Diperpanjang, atau sertifikat EV, berupaya mengatasi masalah ini. Kami telah membahas masalah dengan sertifikat SSL dan bagaimana sertifikat EV berusaha menyelesaikannya.
Karena ada begitu banyak otoritas sertifikat, mereka ada di seluruh dunia, dan otoritas sertifikat dapat mengeluarkan sertifikat untuk situs web apa pun, pemerintah dapat memaksa otoritas sertifikat untuk mengeluarkan sertifikat SSL untuk situs yang ingin mereka tiru.
Ini mungkin terjadi baru-baru ini di Prancis, tempat Google menemukan sertifikat palsu untuk google.com telah dikeluarkan oleh otoritas sertifikat Prancis ANSSI. Pihak berwenang akan mengizinkan pemerintah Prancis atau siapa pun yang memilikinya untuk meniru situs web Google, dengan mudah melakukan serangan man-in-the-middle. ANSSI mengklaim sertifikat itu hanya digunakan pada jaringan pribadi untuk mengintip pengguna jaringan itu sendiri, bukan oleh pemerintah Prancis. Bahkan jika ini benar, itu akan menjadi pelanggaran kebijakan ANSSI sendiri ketika menerbitkan sertifikat.
Banyak situs tidak menggunakan kerahasiaan depan yang sempurna, ” teknik yang akan membuat enkripsi lebih sulit untuk dipecahkan. Tanpa kerahasiaan sempurna ke depan, penyerang dapat menangkap sejumlah besar data terenkripsi dan mendekripsi semuanya dengan satu kunci rahasia. Kami tahu bahwa NSA dan lembaga keamanan negara lain di seluruh dunia sedang menangkap data ini. Jika mereka menemukan kunci enkripsi yang digunakan oleh situs web beberapa tahun kemudian, mereka dapat menggunakannya untuk mendekripsi semua data terenkripsi yang telah mereka kumpulkan antara situs web itu dan semua orang yang terhubung dengannya.
Rahasia kedepan yang sempurna membantu melindungi terhadap hal ini dengan menghasilkan kunci unik untuk setiap sesi. Dengan kata lain, setiap sesi dienkripsi dengan kunci rahasia yang berbeda, sehingga mereka tidak bisa semua dibuka dengan kunci tunggal. Ini mencegah seseorang mendekripsi sejumlah besar data terenkripsi sekaligus. Karena sangat sedikit situs web yang menggunakan fitur keamanan ini, kemungkinan besar lembaga keamanan negara dapat mendekripsi semua data ini di masa mendatang.
Sayangnya, serangan man-in-the-middle masih dimungkinkan dengan SSL. Secara teori, seharusnya aman untuk terhubung ke jaringan Wi-Fi publik dan mengakses situs bank Anda. Anda tahu bahwa koneksi aman karena melalui HTTPS, dan koneksi HTTPS juga membantu Anda memverifikasi bahwa Anda benar-benar terhubung ke bank Anda.
Dalam praktiknya, bisa berbahaya untuk terhubung ke situs web bank Anda di jaringan Wi-Fi publik. Ada solusi off-the-shelf yang dapat memiliki hotspot jahat melakukan serangan man-in-the-middle pada orang-orang yang terhubung dengannya. Misalnya, hotspot Wi-Fi mungkin terhubung ke bank atas nama Anda, mengirim data bolak-balik dan duduk di tengah. Ini dapat secara diam-diam mengarahkan Anda ke halaman HTTP dan terhubung ke bank dengan HTTPS atas nama Anda.
Ini juga bisa menggunakan alamat HTTPS “homograph-serupa. ” Ini adalah alamat yang terlihat identik dengan bank Anda di layar, tetapi yang benar-benar menggunakan karakter Unicode khusus sehingga berbeda. Jenis serangan terakhir dan paling menakutkan ini dikenal sebagai serangan homografis nama domain yang diinternasionalkan. Periksa set karakter Unicode dan Anda akan menemukan karakter yang pada dasarnya terlihat identik dengan 26 karakter yang digunakan dalam abjad Latin. Mungkin o di google.com Anda terhubung ke sebenarnya bukan o, tetapi karakter lain.
Kami membahas ini lebih detail ketika kami melihat bahaya menggunakan hotspot Wi-Fi publik.
Tentu saja, HTTPS berfungsi dengan baik hampir sepanjang waktu. Tidak mungkin Anda akan menemukan serangan man-in-the-middle yang cerdik ketika Anda mengunjungi kedai kopi dan terhubung ke Wi-Fi mereka. Intinya adalah bahwa HTTPS memiliki beberapa masalah serius. Kebanyakan orang mempercayainya dan tidak menyadari masalah ini, tetapi tidak ada yang mendekati sempurna.
Kredit Gambar: Sarah Joy
