Uwaga strona ma nieważny certyfikat

2011-05-28 , Papiewski Łukasz , Security / Bezpieczeństwo

Artykuł wyjaśnia dlaczego widnieją ostrzeżenia "niesprawdzonej strony", dlaczego takowe w ogóle się pojawiają, a także co należy zrobić aby temu zaradzić.



Łącząc się z wyszukaną stroną możemy użyć, bądź zostaliśmy już przekierowani na połączenie wykorzystujące protokół SSL.

Połączenie to szyfruje dane oraz potwierdza autentyczność danej strony. Tak, normalne połączenie nie zapewnia nawet prostego szyfrowania danych, czyli wszystkie nasze hasło 'latają w eterze' i można je bardzo łatwo wyłapać np. w sieci LAN. Połączenie szyfrowane jest standardowo jest porcie 443 i identyfikowane w przeglądarce przedrostkiem https. i zmianą koloru paska, czy czymś podobnym.

Niektórzy administratorzy podpisują sobie sami certyfikaty, które mogę wydawać się niepotrzebnymi kosztami i zależy im tylko na samym szyfrowaniu danych. Nie powinniśmy wtedy panikować, że ot jakaś strona nagle wyrzuca nam coś o próbie ataku itp.
Aby korzystać z SSL akceptujemy certyfikat, który wykorzystywany jest pośrednio właśnie do szyfrowania stron. Nie ważne, że certyfikat jest akurat dla tej strony "krzak" niepodpisany. Często ludzie zmieniają przeglądarki i systemy. Niepokojące może być jego drugie pojawianie na tej samej przeglądarce internetowej.

Problem tak naprawdę może pojawić się gdy wchodzimy na stronę np. banku elektronicznego, serwisu aukcyjnego i nagle pojawia się ten sam komunikat. Znane strony wymagające bezpośredniej identyfikacji mają wykupiony certyfikat. W takim przypadku dla własnej pewności należy uważnie przeczytać kto wystawia certyfikat i dla jakiej strony.

Jak wygląda atak? Po prostu, ktoś ustawia serwer i mapuje domenę banku na ten serwer, robi kopię strony z formularzem logowania, wystawia sfałszowany certyfikat, osoba wewnątrz tej sieci akceptuje z przyzwyczajenia certyfikat i wysyła hasło.Oczywiście jak zwykle najsłabszym ogniwem tej układanki jest użytkownik. Zwłaszcza, że zauważam, że coraz więcej osób widząc kilka razy niegroźnie ostrzeżenie łatwo może je zignorować.

Podsumowując mam nadzieje, że zachęciłem do bezpiecznego wysyłania haseł w sieci przy użyciu protokołu SSL i naświetliłem trochę temat.

Cytaty

- Simplicity is the ultimate sophistication. - Leonardo da Vinci,
- Popularny człowiek wzbudza zawiść potężnych - Thufir Hawat o Leto Atrydzie (na Kaladanie),
- Szczęście następuje po smutku, a smutek po szczęściu; człowiek jest naprawdę wolny, gdy przestaje rozróżniać między smutkiem a szczęściem, między dobrem a złem - Aforyzmy buddyjskie.