Ovunque si accenna che SSL/TLS deve essere utilizzato a causa dell'elevata sicurezza e riservatezza che forniscono.
La mia domanda è: se questo è vero, perché i terroristi e le altre persone usano invece altre alternative come tox.chat?
Perché SSL/TLS non è abbastanza per loro? questo non significa che non sono sicuri come richiesto?
La domanda qui è da chi vuoi essere protetto. L'uso di SSL / TLS con certificati firmati non è così sicuro per qualcuno che sta scherzando con quasi tutti gli stati al mondo. Questo perché le CA possono essere costrette a fornire alle autorità la chiave privata che hanno rilasciato a un sito web specifico. Ciò consente ai paesi in cui si trovano le CA di decrittografare il traffico SSL di questo sito. Poiché molti sevizi di initellegence cooperano con altri paesi "amici", si può presumere che la crittografia basata su certificati firmati non sia così sicura per un nemico dello stato.
Questo può teoricamente essere aggirato emettendo un certificato autofirmato ma poi le autorità possono anche recarsi in una CA dire loro di emettere un certificato firmato per quel sito e quindi cambiare il certificato autofirmato con quello firmato che possiedono in un Attacco MITm.
Anche se suggeriamo che le autorità non possano decifrare questo traffico, il problema è che possono determinare quali siti web visitate. Questo perché i nomi degli host devono essere risolti dal DNS e il DNS non è crittografato in quasi tutti i casi. E spesso visitando siti web gestiti da ISIS o Al Qaida ti inserirai definitivamente nelle liste di intellegence anche se non sanno esattamente cosa stai facendo là fuori.
Usano TOR perché tor aggiunge un altro livello di crittografia e instrada anche ogni pacchetto su tre host, il che rende più difficile ottenere chi inizialmente desiderava visitare un sito Web specifico.
SSL / TLS è una soluzione a un problema specifico in sicurezza e non è la soluzione all-in-one per tutti i problemi di sicurezza che si potrebbero avere.
L'ambito di SSL / TLS è limitato alla protezione della connessione diretta tra due endpoint, ovvero un client e un server. In protocolli come HTTP lo scambio di dati sarà fatto in questo modo, ma in protocolli come la posta sono coinvolti più hop, quindi TLS non fornisce una sicurezza end-to-end. Lo stesso con altri protocolli di messaggi asincroni in cui non si dispone di una connessione diretta tra mittente e destinatario.
Oltre a TLS fornisce solo la crittografia e la resistenza alla manomissione. La privacy che fornisce è limitata alla protezione contro lo sniffing dei dati. Ma non nasconde gli endpoint della connessione, cioè non fornisce alcuna forma di anonimato. Inoltre, non protegge i dati dopo il trasporto stesso, quindi tutte le informazioni trasferite con TLS saranno disponibili in chiaro su ciascuno degli endpoint. Quindi è necessario disporre di strumenti aggiuntivi per proteggere i dati dopo il trasporto.