Hlavní navigace

HTTPS má být zdarma a pro všechny, říká Tomáš Hála

Petr Krčmář

Proč by na HTTPS měly běžet i weby, ke kterým se nepřihlašujete? Co znamenají chyby nalezené v SSL/TLS za poslední rok? V čem se můžeme poučit z kauzy Hacking Team? Jak se s přechodem na HTTPS vypořádávají vyhledávače? Jak si nerozbít web při honbě za A+ ratingem u SSL Labs? Odpovídá Tomáš Hála z Active 24.

Na LinuxDays vystoupil Tomáš Hála, šéf linuxových adminů z Active24, se svou přednáškou týkající se šifrování webových služeb. Na začátku přednášky se zabýval tím, proč vlastně by měly weby podporovat HTTPS. Protože to psali na Rootu, zavtípkoval a odkázal náš nedávný článek. Podle svých slov je také zastáncem toho, že by HTTPS mělo být skutečně i na webech, na kterých se uživatelé nepřihlašují a nepřenášejí „nic tajného“.

Důvodem může být například potlačení cenzury. Mnoho zaměstnavatelů například sleduje, co uživatelé na webu dělají nebo některé státy blokují přístup na některé konkrétní stránky. Například v Rusku se rozhodli blokovat Wikipedii kvůli jednomu nepohodlnému článku. Ovšem když je nasazeno HTTPS, není možné zablokovat jednu stránku, museli byste blokovat celý server, a to už není tak snadné rozhodnutí. Cenzoři podle Hály nabádali Wikipedii, aby HTTPS vypnula, ale správci encyklopedie odpověděli, že mají nastaveno HSTS s platností jeden rok, takže nemohou šifrování vypnout, i kdyby chtěli.

Další problém spočívá v tom, že nešifrované weby je možné po cestě modifikovat a vložit do něj například útočný kód. Známý Hacking Team například využíval díru ve Flash Playeru, kterou dokázal k uživateli propašovat sledovací malware. Stejně tak je poměrně běžné, že veřejné WiFi hotspoty přidávají do navštěvovaných stránek vlastní reklamu. Na letištích to dělá například AT&T, která z reklamy platí provoz těchto hotspotů. Důležité ale je, že provozovatelem takové služby může být kdokoliv a může vám libovolně měnit provoz.

Jediným řešením by podle Hály bylo, kdyby prohlížeče podporovaly jen HTTPS. Zatím je to utopie, ale Google už se snaží s komunitou na toto téma zahájit debatu a získat zpětnou vazbu. Google teď označuje servery zabezpečené pomocí slabých protokolů, ale zatím paradoxně neupozorňuje weby, které nejsou zabezpečené vůbec. Podle Hály je jen otázkou času, kdy začne Google ve výchozím stavu upozorňovat na nebezpečnost HTTP.

Anketa

HTTPS by mělo být…

Tomáš Hála se dále věnoval zranitelnostem, které se přímo týkají protokolu SSL. Šlo například o Heartbleed, POODLE, Logjam Attack nebo oslabení šifer z rodiny RC4. Je toho poměrně hodně a pokud chcete provozovat bezpečný server, měli byste se tomu věnovat a všechny tyto problémy znát. Hála doporučil test Qualsys SSL Labs a Mozilla SSL config generator.

Ovšem i když správce správně server nasadí a získá v testech dobré hodnocení, existují způsoby, jak komunikaci napadnout. Jednou z variant je takzvaný SSL striping, který se zaměřuje na to, jak se bezpečné spojení zahájí. Obvykle uživatel zadá adresu bez HTTPS a předpokládá, že server komunikaci přesměruje na bezpečnou variantu. Toto ovšem probíhá po nešifrovaném spojení, takže útočník může přesměrování zahodit a uživatele udržet na otevřeném kanále. V prohlížeči se samozřejmě neobjeví zelený zámeček, ale ne každý si toho všimne. Cesta k datům je pak otevřená.

Řešením je takzvaný HSTS protokol, kdy se prohlížeč dozví, že má vždy od serveru požadovat informace po HTTPS a automaticky se bude připojovat pomocí SSL. Při prvním použití se prohlížeč tuto informací dozví a v nastaveném časovém období se bude sám připojovat bezpečně. Pokud je doba nastavena alespoň na půl roku, mělo by být vše bezpečné. Hála ale upozornil na zásadní úskalí: pokud se na serveru objeví například nedůvěryhodný certifikát, není možné obejít hlášení o problému. Na stránku se pak už nebude možné nikdy dostat. Podobný problém s HSTS může nastat u subdomén, u kterých není šifrované spojení podporováno, ale klient je bude poctivě vyžadovat, pokud jste to zapnuli. V takové situaci se pak na web opět nedostanete.

Pro mnoho provozovatelů serverů zůstává klíčovou otázkou, zda je nepoškodí nasazení HTTPS ve vyhledávání. Google deklaroval, že bude weby s SSL mírně zvýhodňovat. Je to pravděpodobně naprosto zanedbatelné, Google tím hlavně vyslal signál, že není třeba se toho bát. Seznam nyní také potvrdil, že pro nové weby už by s tím neměl být problém, u starších webů dojde k mírnému propadu. Podle mých zkušeností je to propad jen dočasný, poměrně rychle se to vrátí do normálu. Seznam vydal opatrné doporučení, že by důležité weby měly vyčkat do nového roku.

Podle Tomáše Hály je stále ještě hodně odpůrců HTTPS, ale nic to nemění na faktu, že na něj mnoho serverů každý den přechází. HTTPS se děje právě teď a my o tom můžeme diskutovat, ale to je vše, co s tím můžeme dělat.

Našli jste v článku chybu?

12. 10. 2015 8:51

JD (neregistrovaný)

Banky posilaji e-maily nejenom nepodepsane. Ale mel jsem asi mesicni konverzaci s bankou proc nepouzivaji ani TLS prenos server-server. Odpoved byla, ze dle jejich "odborniku" je treba zvysit "jistotu" doruceni a proto to oni nezapnou. Hnus.
A to jsem ZAMERNE na komunikaci pouzil FB, aby si tu ostudu vychutnali verejne. Zbytecne, davu je to uplne jedno. A nejedna se o jednu banku, je to bezny stav, neuveritelne.

Ale my si nerozomume. Problem neni v tom, ze server zapne sifrovani, to jedine schv…


12. 10. 2015 8:33

Je to na dobré cestě, server už odpovídá na HTTPS a posílá důvěryhodný certifikát. Zatím je nakonfigurován tak, aby přesměrovával na HTTP, ale to se snad brzy změní.

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Bižuterie tisícinásobně překračuje povolené limity

Bižuterie tisícinásobně překračuje povolené limity

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte