HTTPS e SSL são os protocolos usados para proteger a web. Na verdade, o HTTPS usa SSL para fazer as coisas. A ideia geral com esses protocolos é garantir que ninguém possa escutar dados importantes que trafegam pela Web. No entanto, as coisas não são como parecem, porque, na verdade, o SSL é uma confusão.
Não se engane, pois isso não significa que as criptografias SSL e HTTPS são inúteis para os usuários na Web. Eles têm seus problemas, mas ambos são muito melhores que o HTTP de todas as formas possíveis.
Problemas com HTTPS e SSL
Homem nos ataques do meio
Por alguma razão estranha, os ataques Man in the Middle ainda são possíveis com o SSL. O conceito é simples; os usuários devem poder se conectar ao website de seu banco por meio de Wi-Fi público, pois a conexão é segura e, a partir de agora, os invasores não devem encontrar meios de escapar.
Um ataque através deste formulário poderia redirecionar o usuário para um site HTTP que se parece com um site seguro, e a partir daí, os invasores teriam terminais configurados na esperança de roubar informações valiosas.
Muitas autoridades de certificação
Seu navegador da Web possui uma lista de autoridades de certificação integradas. Todos os navegadores da Web confiam somente em certificados emitidos por aqueles embutidos. Se os usuários visitarem um site protegido por SSL, ele emitirá um certificado, e o navegador da Web procederá para verificar se o site tem a certeza de que o certificado foi projetado para vir dessa página em particular.
Aqui está a questão, porque existem muitas autoridades de certificação, problemas com um único certificado podem afetar todos. Isso nunca é bom e, até agora, não há muito o que os webmasters podem fazer sobre isso.
Autoridades de certificação que emitem certificados falsos
Inacreditavelmente, certificados falsos estão por aí e causam problemas para usuários da web. E até o Google e outras empresas já foram vítimas disso no passado.
O governo ou outras pessoas tinham a capacidade de usar esse certificado desonesto para personificar a página oficial do Google, o que tornaria possível realizar um ataque do tipo Man in the Middle. Em sua defesa, a ANSSI afirmou que o certificado foi criado para espionar seus próprios usuários e, como tal, o governo francês não tinha acesso a ele.
Certos certificados falharam algumas vezes
De acordo com estudos realizados no passado, algumas autoridades de certificação falharam ao entregar certificados. Isso significa que alguns sites podem não exigir um certificado, mas a autoridade o entrega de qualquer maneira. Se isto está sendo feito regularmente, então só se pode imaginar que outros erros foram cometidos e ainda estão sendo feitos.
