US-CERT upozorava da mnogi proizvodi za bezbednost koji presreću HTTPS saobraćaj ne proveravaju certifikate kako treba. Tim za spremnost računara SAD (US-CERT – U.S. Computer Emergency Readiness Team) opominje da kompanije koje koriste proizvode za bezbednost kako bi nadzirale HTTPS saobraćaj mogu nehotično da oslabe bezbednost šifrovanih konekcija svojih korisnika i izlože ih napadima tipa „čovek u sredini“. US-CERT, iz Odelenja za unutrašnju bezbednost SAD objavio je savetodavni dokument nakon nedavne ankete koja je pokazala da proizvodi za HTTPS nadzor ne odražavaju atribute bezbednosti originalnih konekcija između klijenata i servera.
HTTPS nadzor proverava šifrovani saobraćaj koji potiče iz HTTPS sajta da bi se obezbedilo da ne sadrži pretnje ili zlonameran softver. Nadzor se vrši tako što se presreće klijentova konekcija ka HTTPS serveru, uspostavlja se konekcija u ime klijenta i zatim se saobraćaj koji se šalje klijentu ponovo šifruje jednim drugim, lokalno generisanim certifikatom. Proizvodi koji to rade u suštini se ponašaju kao proksi tipa čovek u sredini.
U tipičnom okruženju preduzeća, HTTPS konekcija može čak da se presretne i ponovo šifruje više puta: na obodu mreže bezbednosnim proizvodima mrežnog prolaza ili sistemima za sprečavanje curenja podataka i na sistemima krajnjih tačaka u antivirusnim programima koji moraju da proveravaju da li saobraćaj sadrži zlonamerni softver.
Problem je u tome što korisnički pretraživači više ne dobijaju prave serverske certifikate na proveru jer se taj zadatak poverava proksiju za presretanje. A pokazalo se da bezbednosni proizvodi ne vrše dobro proveru certifikata.
Istraživači firmi Google, Mozilla, Cloudflare, Univerziteta Mičigen, Univerziteta Ilinois Urbana-Champaign, Univerziteta Kalifornije, Berkeley i Međunarodni institut računarskih nauka nedavno su sproveli istragu o praksama HTTPS inspekcije.
Utvrdili su da se presreće preko 10 procenata HTTPS saobraćaja koji potiče iz SAD i stigne u Cloudflareovu mrežu za isporuku sadržaja. Isto važi i za 6 procenata konekcija ka veb sajtovima za e-trgovinu.
Jedna analiza je utvrdila da 32 procenta e-trgovine i 54 procenata Cloudflare HTTPS konekcija koje su bile presretnute, postale su manje bezbedne nego što bi bile da su se korisnici konektovali direktno sa serverima.
„Uznemiruje to da ne samo što presretnute konekcije koriste slabije kriptografske šifre, već da 10 do 40 procenata njih reklamira podršku za šifre za koje se zna da su probijene i koje bi omogućile napadaču da kao čovek u sredini kasnije presretne, oslabi i dešifruje konekciju“ kažu istraživači u njihovom izveštaju.
Razlog je to što su proizvođači pretraživača imali dugogodišnju i pravilnu stručnost da shvataju potencijalne nepreciznosti TLS konekcija i provera certifikata. Smatra se da ne postoje bolje implementacije TLS-a — šifrovanog protokola koji se koristi za HTTPS — za klijentsku stranu od modernih pretraživača.
Dobavljači bezbednosnih proizvoda koriste zastarele TLS biblioteke, prilagode ih i čak pokušavaju da ponovo implementiraju neke od funkcija protokola, što dovodi do ozbiljnoh ranjivosti.
Još jedan rašireni problem na koji upozorava US-CERT u njihovom savetodavnom dokumentu jeste da mnogi proizvodi za presretanje HTTPS nepravilno proveravaju lance certifikata dobijenih od servera.
„Štaviše, greške iz provera lanaca certifikata se retko proslede klijentu, pa klijent veruje da su operacije izvršene kao što su nameravali i sa pravilnim serverom,“ kaže ova organizacija.
Na veb sajtu BadSSL, organizacije mogu da provere da li njihovi proizvodi za nadgledanje HTTPSa nepravilno proveravaju certifikate, ili dozvoljavaju nepouzdane šifre. Klijentski test iz Qualys SSL Labs takođe može da proveri neke poznate TLS ranjivosti i nedostatke.
Centar za koordinaciju CERT na univerzitetu Carnegie Mellon je objavio jedan post na blogu sa više informacija o uobičajenim zamkama HTTPS presretanja, kao i listu proizvoda koji su možda ranjivi.