HTTPS et SSL sont les protocoles utilisés pour sécuriser le Web. En fait, HTTPS utilise SSL pour faire avancer les choses. L’idée générale de ces protocoles est de s’assurer que personne ne peut écouter des données importantes voyageant sur le Web. Cependant, les choses ne sont pas ce qu'elles semblent être, car, en vérité, SSL est un fouillis.
Ne le faites pas tordre, car cela ne veut pas dire que les cryptages SSL et HTTPS sont inutiles pour les utilisateurs du Web. Ils ont leurs problèmes, mais les deux sont bien meilleurs que HTTP de toutes les manières possibles.
Problèmes avec HTTPS et SSL
Homme au milieu des attaques
Pour une raison étrange, les attaques de Man in the Middle sont toujours possibles avec SSL. Le concept est simple. Les utilisateurs doivent pouvoir se connecter au site Web de leur banque via un réseau Wi-Fi public, car la connexion est sécurisée. Désormais, les attaquants ne doivent pas trouver le moyen de se glisser.
Une attaque via ce formulaire pourrait rediriger l'utilisateur vers un site Web HTTP similaire à un site sécurisé. À partir de là, les attaquants auraient des terminaux configurés dans l'espoir de voler des informations précieuses.
Trop d'autorités de certification
Votre navigateur Web contient une liste des autorités de certification intégrées. Tous les navigateurs Web ne font confiance qu'aux certificats émis par ceux intégrés. Si les utilisateurs visitent un site Web sécurisé à l'aide de SSL, il émettra un certificat et le navigateur Web vérifiera si le site Web vérifie que le certificat a été conçu pour provenir de cette page.
En l’occurrence, en raison du nombre élevé d’autorités de certification, les problèmes liés à un certificat unique peuvent concerner tous. Ce n’est jamais bon, et jusqu’à présent, peu de webmasters peuvent le faire.
Autorités de certification émettant de faux certificats
Incroyablement, de faux certificats sont là et posent des problèmes pour les utilisateurs Web. Et même Google et d'autres entreprises en ont été victimes par le passé.
Le gouvernement ou d'autres personnes avaient la possibilité d'utiliser ce certificat frauduleux pour se faire passer pour la page officielle de Google, ce qui permettrait de réaliser une attaque Man in the Middle. Pour sa défense, l'ANSSI a prétendu que le certificat avait été créé pour espionner ses propres utilisateurs. De ce fait, le gouvernement français n'y avait pas accès.
Certains certificats ont parfois échoué
Selon des études réalisées dans le passé, certaines autorités de certification ont échoué lors de la délivrance de certificats. Cela signifie que certains sites Web peuvent ne pas nécessiter de certificat, mais que l'autorité le délivre quand même. Si cela se fait régulièrement, on ne peut qu'imaginer quelles autres erreurs ont été commises et sont encore commises.