Websites die geen SSL gebruiken, of dit op een inconsistente wijze doen, brengen de privacy en veiligheid van gebruikers in gevaar, maar ook als er wel SSL wordt gebruikt, kunnen aanvallers nog steeds toeslaan. Daarvoor waarschuwt Mozilla's Mark Goodwin. SSL wordt gebruikt om het verkeer tussen bezoekers en de website te versleutelen en helpt bij het identificeren van de site.
Sommige websites gebruiken SSL alleen voor het inloggen. Een aanvaller kan daardoor nog steeds het onversleutelde onderscheppen. Volgens Goodwin gebruiken echter steeds meer populaire sites SSL voor de gehele sessie.
Toch kan een aanvaller verschillende technieken gebruiken om dit te omzeilen. De bekendste techniek is SSL-Stripping, waarbij een 'man-in-the-middle' het verkeer tussen de browser en de server onderschept, en de HTTPS-verbinding vervolgens naar een onversleutelde HTTP-verbinding terugzet.
HSTS
Om dit soort aanvallen lastiger te maken is HSTS (HTTP Strict Transport Security) ontwikkeld. In dit geval moet de verbinding altijd via HTTPS lopen. Als een request via HTTP verloopt, wordt die automatisch door de browser naar HTTPS omgezet. Als het SSL-certificaat van een website die HSTS gebruikt niet kan worden geverificeerd, wordt de opgevraagde content niet geladen.
"Ook in deze beveiliging zit een gat; als je initiële verbinding naar een site wordt onderschept, kan een aanvaller niet alleen je verbinding downgraden, maar er ook voor zorgen dat de browser de HSTS-header niet te zien krijgt", merkt Goodwin op.
Voor populaire websites die HSTS ondersteunen zal Firefox binnenkort over een 'ingebouwde' lijst beschikken. Deze lijst zorgt ervoor dat meteen al het verkeer naar deze populaire sites over HTTPS loopt. Een aanvaller zou er daardoor niet meer tussen kunnen komen. "Firefox ondersteunt HSTS sinds versie 4, het is tijd dat jouw site het ook doet", aldus Goodwin.
Deze posting is gelocked. Reageren is niet meer mogelijk.