HTTPS Interception làm suy yếu bảo mật TLS
TLS - transport layer security hay còn gọi là giao thức bảo mật tầng giao vận. Giao thức này được phát triển dựa trên tiêu chuẩn SSL v3.0 (Secure Socket Layer). TLSgiups Đóng gói các giao thức ví dụ như HTTP, FTP, SMTP, NNTP và XMPP. Cùng Bizfly Cloud tìm hiểu thông tin qua bài viết dưới đây.
1. Hệ thống bị ảnh hưởng
Tất cả các hệ thống đằng sau sản phẩm chặn Hypertext transfer protocol secure (an toàn giao thức truyền tải siêu văn bản - HTTPS) đều có khả năng bị ảnh hưởng.
2. Tổng quan
Hiện nay có khá nhiều tổ chức sử dụng các sản phẩm chặn HTTPS vì nhiều mục đích khác nhau, trong đó bao gồm mục đích nhằm phát hiện ra malware sử dụng kết nối HTTPS tới các máy chủ độc hại.
Trung tâm điều phối CERT (CERT/ CC) đã khám phá ra sự cân bằng của việc sử dụng tính năng chặn HTTPS trong một bài đăng trên blog có tên là The Risks of SSL Inspection (tạm dịch: Rủi ro kiểm tra SSL).
Các tổ chức đã thực hiện đánh giá rủi ro và tuyên bố rằng: việc kiểm tra HTTPS là một yêu cầu cần thiết phải được đảm bảo nhằm đánh giá xem các sản phẩm kiểm tra HTTPS của họ có đang thực hiện xác thực TLS (transport layer security - bảo mật lớp truyền tải) chính xác không.
Hãy lưu ý rằng, những sản phẩm không đảm bảo giao tiếp TLS một cách an toàn, hoặc không truyền tải thông báo lỗi cho người dùng, có thể làm suy yếu thêm các biện pháp bảo vệ đầu cuối (end-to-end) mà HTTPS cung cấp.
3. Mô tả
Cả TLS và người tiền nhiệm của nó, Lớp cổng bảo mật (SSL - Secure Sockets Layer), đều là các giao thức Internet quan trọng trong việc mã hóa truyền thông qua Internet giữa máy khách và máy chủ. Những giao thức này (và các giao thức sử dụng TLS và SSL, ví dụ như HTTPS) sử dụng chứng chỉ để thiết lập một chuỗi nhận dạng cho thấy kết nối với máy chủ là hợp pháp, đã được xác minh bởi cơ quan chứng nhận là một bên thứ ba rất đáng tin cậy.
Cuộc kiểm tra HTTPS được tiến hành bằng cách chặn lưu lượng mạng HTTPS lại, sau đó thực hiện một cuộc tấn công trung gian (MiTM: man-in-the-middle) trên kết nối. Trong các cuộc tấn công MiTM này, toàn bộ dữ liệu nhạy cảm sẽ được truyền đến một bên độc hại nào đó đang giả mạo hành một máy chủ cụ thể.
Nếu muốn thực hiện kiểm tra HTTPS, và đồng thời không muốn phải gửi cảnh báo tới khách hàng, lúc này quản trị viên phải cài đặt những chứng chỉ tin cậy trên thiết bị khách. Trình duyệt và các ứng dụng khách sẽ sử dụng chứng chỉ này để xác thực các kết nối được mã hóa do sản phẩm kiểm tra HTTPS tạo ra.
Ngoài vấn đề không thể xác minh chứng chỉ của web server, thì các giao thức và mật mã mà các sản phẩm kiểm tra HTTPS thương lượng với web servers, có khả năng sẽ không hiển thị với khách hàng. Do vậy, có thể xác định được vấn đề với kiến trúc này chính là: các hệ thống máy khách không có cách nào để xác nhận tính hợp lệ của kết nối HTTPS một cách độc lập. Máy khách chỉ có thể xác minh được duy nhất một kết nối giữa chính nó và sản phẩm chặn HTTPS, dẫn đến đến lúc này khách hàng chỉ có một cách đó là phải dựa vào xác thực HTTPS được thực hiện bởi sản phẩm chặn HTTPS.
Theo một báo cáo gần đây, có tên gọi The Security Impact of HTTPS Interception (tạm dịch: Tác động an ninh của HTTPS Interception), đã nêu bật một số mối quan tâm về bảo mật đối với các sản phẩm kiểm tra HTTPS đồng thời tuyên bố cả những kết quả khảo sát về các vấn đề liên quan. Hiện đang tồn tại khá nhiều sản phẩm kiểm tra HTTPS không xác minh chuỗi các chứng chỉ của máy chủ một cách chính xác trước khi chúng bắt đầu tiến hành mã hóa lại và chuyển tiếp các dữ liệu khách hàng, chính điều này càng làm cho các tấn công MiTM có nguy cơ xảy ra hơn nữa. Ngoài ra, các lỗi xác minh chuỗi chứng chỉ không thường xuyên được chuyển tiếp đến máy khách, khiến cho khách hàng tin rằng các hoạt động đang được thực hiện đúng như kế hoạch với các máy chủ chính xác.
Báo cáo này cũng cung cấp một phương pháp giúp máy chủ có khả năng phát hiện ra lượng truy cập của khách hàng nào đang bị điều khiển bởi các sản phẩm kiểm tra HTTPS.
Với website badssl.com, khách hàng có thể xác minh xem các sản phẩm kiểm tra HTTPS của mình có đang xác minh đúng các chuỗi chứng chỉ hay không. Khách hàng cũng có thể sử dụng trang web này để xác minh xem sản phẩm kiểm tra HTTPS của họ có cho phép kết nối với các trang web mà trình duyệt hoặc ứng dụng khách khác sẽ từ chối hay không. Ví dụ: một sản phẩm kiểm tra HTTPS có thể cho phép sử dụng các phiên bản giao thức hoặc mật mã yếu kể cả khi chúng bị từ chối, giữa chính nó và web server. Vì sao? Bởi vì hệ thống máy khách có thể kết nối với sản phẩm kiểm tra HTTPS bằng cách sử dụng công nghệ mã hóa mạnh, người dùng sẽ không thể biết được bất kỳ điểm yếu nào ở phía bên kia của việc kiểm tra HTTPS.
4. Ảnh hưởng
Sản phẩm kiểm tra HTTPS sẽ quản lý các giao thức, mật mã và chuỗi chứng chỉ, vì lí do này nên chắc chắn sản phẩm phải thực hiện các xác thực HTTPS cần thiết.
Việc không thực hiện xác nhận hợp lệ hoặc không truyền đạt đầy đủ trạng thái xác thực sẽ làm tăng khả năng khách hàng bị trở thành nạn nhân của các cuộc tấn công MiTM bởi các bên thứ ba độc hại.
5. Giải pháp
Với những tổ chức sử dụng sản phẩm kiểm tra HTTPS, hãy chắc chắn rằng: các sản phẩm của mình phải xác nhận hợp lệ các chuỗi chứng chỉ và sẽ chuyển bất kỳ cảnh báo hoặc lỗi nào cho các khách hàng.
Các tổ chức có thể sử dụng badssl.com là một phương pháp hiệu quả trong việc xác định xem sản phẩm kiểm tra HTTPS đang dùng có tiến hành xác thực hợp lệ các chứng chỉ và ngăn các kết nối đến các website sử dụng mật mã yếu hay không. Ở mức tối thiểu nhất, nếu bất kỳ phần test nào trong mục Chứng chỉ của badssl.com ngăn chặn một khách hàng khỏi việc kết nối internet, thì những khách hàng tương tự cũng sẽ từ chối kết nối Internet theo cách của sản phẩm kiểm tra HTTPS.
Nói chung, các tổ chức nếu đang có ý định sử dụng kiểm tra HTTPS, hãy xem xét thật cẩn thận các ưu và nhược điểm trước khi bắt đầu công cuộc triển khai. Đồng thời hãy đừng quên tiến hành việc thực hiện các bước khác để bảo mật thông tin liên lạc đầu cuối.
VCCloud via www.us-cert.gov