HTTPS با استفاده از SSL تایید هویت و امنیت فراهم میکند بنابراین شما می دانید که شما به سایت درست و اصلی متصل شده اید و کسی امکان دزدین اطلاعات شما را ندارد به هر حال این یک نظریه می باشد ولی در عمل SSL بر روی اینترنت یک مسافر یا سربار است.این به این معنا نیست که رمزنگاری HTTPS و SSL فاقد ارزش می باشد.بلکه استفاده از این پروتکل ها خیلی بهتر از استفاده از پروتکل رمزنگاری نشده HTTP می باشد.حتی در بدترین حالت یک اتصال به خطرافتاده HTTPS بهتر و امن تر از اتصال با استفاده از HTTP است.
1) تعداد واقعی موسسات صدور گواهینامه
مرورگر شما از لیستی از گواهینامه های قابل اعتماد ساخته شده است.مرورگرها فقط به گواهینامه های صادر شده توسط این گواهی نامه اعتماد میکند.اگر شما به آدرس https://example.com سربزنید وب سرور موجود در example.com به شما یک گواهینامه SSL نشان می دهد تا مرورگرتان بررسی کند و مطمئن شود که گواهینامه SSL برای example.com توسط یک گواهینامه معتر موجود در لیست گواهینامه ها صادر شده است یا خیر.اگر گواهینامه برای دومین دیگر صادر شده باشد و یا در لیست گواهینامه های قابل اطمینان وجود نداشته باشد شما یک هشدار جدی را در مرورگر خود مشاهده خواهید کرد. یکی از مشکلات عمده این است که تعداد زیادی گواهینامه در لیست وجود دارد بنابراین مشکل با یک گواهینامه معتبر ممکن است برای افراد زیادی اتفاق بیفتد. به عنوان مثال شما ممکن است یک گواهینامه SSL را برای domain خود از زیرمجموعه verisign بگیرید و یک نفر دیگر می تواند با حقه و زیرکی گواهینامه معتبر دیگری را برای domain شما بگیرد.
2) موسسات صدور گواهینامه همیشه اعتماد را جلب نکرده اند
مطالعات نشان می دهد که موسسات ارائه دهنده گواهی نامه (certificate)، از کمترین میزان دیجیتالی شدن در صدور گواهی نامه ها برخوردارند. آن ها برای مکان هایی مانند localhost (همیشه بیان گر کامپیوتر محلی است) که نیازی به گواهی نامه ندارند، گواهی های SSL صادر کرده اند. در سال 2011، EEF بیش از 2000 گواهی نامه را برای localhost پیدا کرد که توسط موسسه های معتبر و قابل اطمینان صادر شده بودند. اگر این مسئله را در نظر بگیریم که موسسه های صدور گواهی نامه، در هنگام صدور این گواهی ها حتی به آدرس آن ها توجه نمی کنند، با کمی تامل متوجه اشتباه های دیگر این موسسه ها می شویم. حتی ممکن است که برای سایت های هکرها هم گواهی های معتبر صادر کرده باشند.گواهی نامه های EV سعی در حل این مشکل دارند. در این لینک مشکلات گواهی های SSL را بررسی کرده ایم و همچنین بیان کرده ایم که چگونه گواهی نامه های EV این مشکلات را برطرف می کنند.
3) موسسات صدور گواهینامه را می توان مجبور به صدرو گواهینامه های جعلی کرد
بدلیل اینکه موسسه های صدور گواهینامه بسار زیادی در سراسر جهان وجود دارند و هر موسسه صدور گواهینامه می تواند برای هر سایتی یک گواهینامه صادر کند دولت میتواند موسسه ها را مجبور به صدور گواهینامه SSL برای یک سایت که می خواهند به جای سایت دیگر جا بزنند بکند. این مسئله به تازگی در فرانسه اتفاق افتاد که گوگل یک گواهینامه تقلبی برای google.com که توسط موسسه صدور گواهینامه ANSSI فرانسه صادر شده بود را پیدا کرد. این مجوز به دولت فرانسه یا هر کس دیگری که از این مجوز استفاده میکرد اجازه میداد که از این طریق به کلاهبرداری و دزدیدن اطلاعات استفاده کند.
4) Perfect forward secrecy که یکی از روش های امن سازی در رمزنگاری هست در همه جا استفاده نشده است
بسیاری از سایت ها از تکنیک perfect forward secrecy تکنیکی که رمزگشایی را سخت میکند استفاده نمی کنند بدون روش perfect forward secrecy یک حمله کننده می تواند اطلاعات زیادی را بدست آورده و آنها را تنها با یک کلید مخفی رمزگشایی کند. همانطور که میدانید NSA و دیگر آژانس های امنیتی ایالتی سراسر جهان این اطلاعات را بدست می آورند. اگر آنها سال ها بعد کد رمزگذاری یک وبسایت را بدست بیاورند می توانند از آن برای رمزگشایی همه اطلاعات رمزگذاری شده بین آن وبسایت و هرشخصی که به آن وبسایت ها متصل شده اند استفاده کنند.
روش perfect forward secrecy به ایمن ماندن بوسیله ایجادکردن یک کلید منحصر به فرد برای هر بخش کمک می کند به عبارت دیگر هربخش به وسیله یک کلید سری متفاوت رمزگذاری می شود.پس در این صورت همه آنها نمی توانند رمزگشایی شوند.تنها با یک کلید می توان از این مسئله که فردی بتواند حجم عظیمی از اطلاعات را به یکباره رمزگشایی کند جلوگیری میکند. بدلیل اینکه تعداد بسیارکمی از وبسایت ها از این شیوه مهم امنیتی استفاده می کنند آژانس های امنیتی ایالتی می توانند در آینده همان اطلاعات را رمزگشایی کنند.
5) حمله به اطلاعات در میانه راه و کاراکترهای هم کدشده
متاسفانه حملات درمیان راه هموز با پروتکل SSL امکانپذیر است.در تئوری اتصال به شبکه عمومی wifi و سایت بانکها ایمن می باشد. شما میدانید که اتصال به دلیل اینکه بوسیله پروتکل HTTPS است ایمن میباشد و اتصال با HTTPS به شما کمک میکند تا شما متوجه شوید که واقعا به بانکتان متصل شده اید.درعمل اگر شما با استفاده از یک شبکه عمومی wifi به بانکتان متصل شوید ممکن است خطرناک باشد.راههایی وجود دارند که میتوانند به Hotspot ها بوسیله حملات میان انسانی صدمه بزنند به اطلاعات افرادی که به این شبکه ها متصل شده اند. به عنوان مثال یک wifi hotspot ممکن است به یک بانک متصل باشد ولی اطلاعات درمیانه راه به مقصد دیگر فرستاده شود. ممکن است این کار خیلی بی سروصدا و غیر مستقیم شما را به یک صفحه با پروتکل HTTP ببرد و از آن طریق به بانک و صفحه ای که به شما تعلق دارد متصل شود و همچنین ممکن است از یک آدرس HTTPS مشابه استفاده کند ابن آدرس مشابه مشخصات را در صفحه بانکتان جست و جو میکند ولی این کاملا متفاوت است و در واقع از کاراکترهای ویژه هم کد شده استفاده میکند. این آخرین و خطرناکترین نوع حمله است که به عنوان یک نوع حمله بین الملی از کلمات هموگراف شناخته شده است. وقتی شما تنطیمات کاراکترهای هم کدشده را بررسی کنید و در آن به جستوجو بپردازید شما کاراکترهایی که اساسا در 26 حرف الفبای لاتین وجود دارد را پیدا خواهید کرد شاید آن حرف O در google.com باشد.