HTTPS má být zdarma a pro všechny, říká Tomáš Hála

12. 10. 2015
Doba čtení: 3 minuty

Sdílet

Proč by na HTTPS měly běžet i weby, ke kterým se nepřihlašujete? Co znamenají chyby nalezené v SSL/TLS za poslední rok? V čem se můžeme poučit z kauzy Hacking Team? Jak se s přechodem na HTTPS vypořádávají vyhledávače? Jak si nerozbít web při honbě za A+ ratingem u SSL Labs? Odpovídá Tomáš Hála z Active 24.

Na LinuxDays vystoupil Tomáš Hála, šéf linuxových adminů z Active24, se svou přednáškou týkající se šifrování webových služeb. Na začátku přednášky se zabýval tím, proč vlastně by měly weby podporovat HTTPS. Protože to psali na Rootu, zavtípkoval a odkázal náš nedávný článek. Podle svých slov je také zastáncem toho, že by HTTPS mělo být skutečně i na webech, na kterých se uživatelé nepřihlašují a nepřenášejí „nic tajného“.

Důvodem může být například potlačení cenzury. Mnoho zaměstnavatelů například sleduje, co uživatelé na webu dělají nebo některé státy blokují přístup na některé konkrétní stránky. Například v Rusku se rozhodli blokovat Wikipedii kvůli jednomu nepohodlnému článku. Ovšem když je nasazeno HTTPS, není možné zablokovat jednu stránku, museli byste blokovat celý server, a to už není tak snadné rozhodnutí. Cenzoři podle Hály nabádali Wikipedii, aby HTTPS vypnula, ale správci encyklopedie odpověděli, že mají nastaveno HSTS s platností jeden rok, takže nemohou šifrování vypnout, i kdyby chtěli.

Další problém spočívá v tom, že nešifrované weby je možné po cestě modifikovat a vložit do něj například útočný kód. Známý Hacking Team například využíval díru ve Flash Playeru, kterou dokázal k uživateli propašovat sledovací malware. Stejně tak je poměrně běžné, že veřejné WiFi hotspoty přidávají do navštěvovaných stránek vlastní reklamu. Na letištích to dělá například AT&T, která z reklamy platí provoz těchto hotspotů. Důležité ale je, že provozovatelem takové služby může být kdokoliv a může vám libovolně měnit provoz.

Jediným řešením by podle Hály bylo, kdyby prohlížeče podporovaly jen HTTPS. Zatím je to utopie, ale Google už se snaží s komunitou na toto téma zahájit debatu a získat zpětnou vazbu. Google teď označuje servery zabezpečené pomocí slabých protokolů, ale zatím paradoxně neupozorňuje weby, které nejsou zabezpečené vůbec. Podle Hály je jen otázkou času, kdy začne Google ve výchozím stavu upozorňovat na nebezpečnost HTTP.

HTTPS by mělo být…

Tomáš Hála se dále věnoval zranitelnostem, které se přímo týkají protokolu SSL. Šlo například o Heartbleed, POODLE, Logjam Attack nebo oslabení šifer z rodiny RC4. Je toho poměrně hodně a pokud chcete provozovat bezpečný server, měli byste se tomu věnovat a všechny tyto problémy znát. Hála doporučil test Qualsys SSL Labs a Mozilla SSL config generator.

Ovšem i když správce správně server nasadí a získá v testech dobré hodnocení, existují způsoby, jak komunikaci napadnout. Jednou z variant je takzvaný SSL striping, který se zaměřuje na to, jak se bezpečné spojení zahájí. Obvykle uživatel zadá adresu bez HTTPS a předpokládá, že server komunikaci přesměruje na bezpečnou variantu. Toto ovšem probíhá po nešifrovaném spojení, takže útočník může přesměrování zahodit a uživatele udržet na otevřeném kanále. V prohlížeči se samozřejmě neobjeví zelený zámeček, ale ne každý si toho všimne. Cesta k datům je pak otevřená.

Řešením je takzvaný HSTS protokol, kdy se prohlížeč dozví, že má vždy od serveru požadovat informace po HTTPS a automaticky se bude připojovat pomocí SSL. Při prvním použití se prohlížeč tuto informací dozví a v nastaveném časovém období se bude sám připojovat bezpečně. Pokud je doba nastavena alespoň na půl roku, mělo by být vše bezpečné. Hála ale upozornil na zásadní úskalí: pokud se na serveru objeví například nedůvěryhodný certifikát, není možné obejít hlášení o problému. Na stránku se pak už nebude možné nikdy dostat. Podobný problém s HSTS může nastat u subdomén, u kterých není šifrované spojení podporováno, ale klient je bude poctivě vyžadovat, pokud jste to zapnuli. V takové situaci se pak na web opět nedostanete.

bitcoin_skoleni

Pro mnoho provozovatelů serverů zůstává klíčovou otázkou, zda je nepoškodí nasazení HTTPS ve vyhledávání. Google deklaroval, že bude weby s SSL mírně zvýhodňovat. Je to pravděpodobně naprosto zanedbatelné, Google tím hlavně vyslal signál, že není třeba se toho bát. Seznam nyní také potvrdil, že pro nové weby už by s tím neměl být problém, u starších webů dojde k mírnému propadu. Podle mých zkušeností je to propad jen dočasný, poměrně rychle se to vrátí do normálu. Seznam vydal opatrné doporučení, že by důležité weby měly vyčkat do nového roku.

Podle Tomáše Hály je stále ještě hodně odpůrců HTTPS, ale nic to nemění na faktu, že na něj mnoho serverů každý den přechází. HTTPS se děje právě teď a my o tom můžeme diskutovat, ale to je vše, co s tím můžeme dělat.

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.