HTTPS má být zdarma a pro všechny, říká Tomáš Hála

Petr Krčmář 12. 10. 2015

Proč by na HTTPS měly běžet i weby, ke kterým se nepřihlašujete? Co znamenají chyby nalezené v SSL/TLS za poslední rok? V čem se můžeme poučit z kauzy Hacking Team? Jak se s přechodem na HTTPS vypořádávají vyhledávače? Jak si nerozbít web při honbě za A+ ratingem u SSL Labs? Odpovídá Tomáš Hála z Active 24.

Na LinuxDays vystoupil Tomáš Hála, šéf linuxových adminů z Active24, se svou přednáškou týkající se šifrování webových služeb. Na začátku přednášky se zabýval tím, proč vlastně by měly weby podporovat HTTPS. Protože to psali na Rootu, zavtípkoval a odkázal náš nedávný článek. Podle svých slov je také zastáncem toho, že by HTTPS mělo být skutečně i na webech, na kterých se uživatelé nepřihlašují a nepřenášejí „nic tajného“.

Důvodem může být například potlačení cenzury. Mnoho zaměstnavatelů například sleduje, co uživatelé na webu dělají nebo některé státy blokují přístup na některé konkrétní stránky. Například v Rusku se rozhodli blokovat Wikipedii kvůli jednomu nepohodlnému článku. Ovšem když je nasazeno HTTPS, není možné zablokovat jednu stránku, museli byste blokovat celý server, a to už není tak snadné rozhodnutí. Cenzoři podle Hály nabádali Wikipedii, aby HTTPS vypnula, ale správci encyklopedie odpověděli, že mají nastaveno HSTS s platností jeden rok, takže nemohou šifrování vypnout, i kdyby chtěli.

Další problém spočívá v tom, že nešifrované weby je možné po cestě modifikovat a vložit do něj například útočný kód. Známý Hacking Team například využíval díru ve Flash Playeru, kterou dokázal k uživateli propašovat sledovací malware. Stejně tak je poměrně běžné, že veřejné WiFi hotspoty přidávají do navštěvovaných stránek vlastní reklamu. Na letištích to dělá například AT&T, která z reklamy platí provoz těchto hotspotů. Důležité ale je, že provozovatelem takové služby může být kdokoliv a může vám libovolně měnit provoz.

Jediným řešením by podle Hály bylo, kdyby prohlížeče podporovaly jen HTTPS. Zatím je to utopie, ale Google už se snaží s komunitou na toto téma zahájit debatu a získat zpětnou vazbu. Google teď označuje servery zabezpečené pomocí slabých protokolů, ale zatím paradoxně neupozorňuje weby, které nejsou zabezpečené vůbec. Podle Hály je jen otázkou času, kdy začne Google ve výchozím stavu upozorňovat na nebezpečnost HTTP.

Anketa

HTTPS by mělo být…

Tomáš Hála se dále věnoval zranitelnostem, které se přímo týkají protokolu SSL. Šlo například o Heartbleed, POODLE, Logjam Attack nebo oslabení šifer z rodiny RC4. Je toho poměrně hodně a pokud chcete provozovat bezpečný server, měli byste se tomu věnovat a všechny tyto problémy znát. Hála doporučil test Qualsys SSL Labs a Mozilla SSL config generator.

Ovšem i když správce správně server nasadí a získá v testech dobré hodnocení, existují způsoby, jak komunikaci napadnout. Jednou z variant je takzvaný SSL striping, který se zaměřuje na to, jak se bezpečné spojení zahájí. Obvykle uživatel zadá adresu bez HTTPS a předpokládá, že server komunikaci přesměruje na bezpečnou variantu. Toto ovšem probíhá po nešifrovaném spojení, takže útočník může přesměrování zahodit a uživatele udržet na otevřeném kanále. V prohlížeči se samozřejmě neobjeví zelený zámeček, ale ne každý si toho všimne. Cesta k datům je pak otevřená.

Řešením je takzvaný HSTS protokol, kdy se prohlížeč dozví, že má vždy od serveru požadovat informace po HTTPS a automaticky se bude připojovat pomocí SSL. Při prvním použití se prohlížeč tuto informací dozví a v nastaveném časovém období se bude sám připojovat bezpečně. Pokud je doba nastavena alespoň na půl roku, mělo by být vše bezpečné. Hála ale upozornil na zásadní úskalí: pokud se na serveru objeví například nedůvěryhodný certifikát, není možné obejít hlášení o problému. Na stránku se pak už nebude možné nikdy dostat. Podobný problém s HSTS může nastat u subdomén, u kterých není šifrované spojení podporováno, ale klient je bude poctivě vyžadovat, pokud jste to zapnuli. V takové situaci se pak na web opět nedostanete.

widgety

Pro mnoho provozovatelů serverů zůstává klíčovou otázkou, zda je nepoškodí nasazení HTTPS ve vyhledávání. Google deklaroval, že bude weby s SSL mírně zvýhodňovat. Je to pravděpodobně naprosto zanedbatelné, Google tím hlavně vyslal signál, že není třeba se toho bát. Seznam nyní také potvrdil, že pro nové weby už by s tím neměl být problém, u starších webů dojde k mírnému propadu. Podle mých zkušeností je to propad jen dočasný, poměrně rychle se to vrátí do normálu. Seznam vydal opatrné doporučení, že by důležité weby měly vyčkat do nového roku.

Podle Tomáše Hály je stále ještě hodně odpůrců HTTPS, ale nic to nemění na faktu, že na něj mnoho serverů každý den přechází. HTTPS se děje právě teď a my o tom můžeme diskutovat, ale to je vše, co s tím můžeme dělat.

Našli jste v článku chybu?
Podnikatel.cz: Vyrábějí dětské knížky. Tady je příběh

Vyrábějí dětské knížky. Tady je příběh

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Podnikatel.cz: Babiš: Článek Soukupa k EET je plný nesmyslů

Babiš: Článek Soukupa k EET je plný nesmyslů

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

120na80.cz: Nejsilnější alergeny jsou pryč

Nejsilnější alergeny jsou pryč

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku