Ответить

Могут ли спецслужбы прослушать https?

Интернет
Ответить
Комментировать
0
Подписаться
0
1 ответ
Поделиться

Короткий ответ: нет, если он используется правильно.

Чтобы пассивно прослушивать TLS, нужно получить доступ к секретному ключу, который хранится на сервере. Тут есть несколько вариантов:

1. Спецслужбы могут заставить владельца сервера передать ключ им. В 2013 году с помощью секретного судебного решения ФБР потребовало ключ у почтового сервиса Lavabit, используемого Эдвардом Сноуденым. Lavabit пришлось закрыться чтобы не нарушать конфиденциальность его пользователей. Из документов, предоставленных Сноуденом, также известно, что сервис Hotmail предоставил свои ключи АНБ.

2. Спецслужбы могут использовать какие-либо уязвимости (например, Heartbleed, или что-то подобное), чтобы похитить ключ.

3. Владелец сервера может использовать небезопасные шифры. Проверить, насколько правильно настроен TLS, можно здесь ssllabs.com

Возможны активные атаки:

1. Спецслужбы могут использовать самоподписанный сертификат, тогда пользователь увидит в браузере предупреждение, и можно надеяться только на его глупость.

2. Спецслужбы могут надавить на доверенный браузером центр сертификации или украсть их сертификат, и заставить подписать их свой ключ, тогда пользователь ничего не заметит. Для защиты от этого используется certificate pinning — в браузер уже встроены сертификаты от популярных вебсайтов. Можно также установить расширение Certificate Patrol для Firefox, которое будет сообщать о каждом изменении сертификата.

И, наконец, не совсем атака на TLS, но спецслужбы могут не перенаправлять пользователей с HTTP версии на HTTPS. То есть если вы открываете example.com, который должен редиректить на example.com, человек-посередине может отключить этот редирект. Для защиты от этого есть HSTS, который заставляет браузер если один раз получилось открыть по HTTPS, то делать так всегда, плюс в браузеры встроены правила для популярных сайтов. Поэтому желательно установить расширение для браузера HTTPS Everywhere, которое перенаправляет на HTTPS-версию, если такая существует.

Ну и конечно если у спецслужб есть доступ к вашему компьютеру, то TLS вам не поможет.