Peringatan Sertifikat Keamanan Tidak Bekerja, Para Peneliti Mengatakan

Setiap surfer Web telah melihatnya. Peringatan "sertifikat tidak sah" yang terkadang Anda dapatkan ketika Anda mencoba mengunjungi situs Web aman.

Mereka mengatakan hal-hal seperti "Ada masalah dengan sertifikat keamanan situs Web ini." Jika Anda seperti kebanyakan orang, Anda mungkin merasa agak gelisah, dan - menurut sebuah makalah baru dari para peneliti di Carnegie Mellon University - ada kesempatan baik Anda akan mengabaikan peringatan itu dan tetap mengkliknya.

Dalam percobaan laboratorium, peneliti menemukan bahwa antara 55 persen dan 100 persen peserta mengabaikan peringatan keamanan sertifikat, tergantung pada browser mana yang mereka gunakan (browser yang berbeda menggunakan bahasa yang berbeda untuk memperingatkan penggunanya).

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

"Semua orang tahu bahwa ada masalah dengan peringatan ini," kata Joshua Sunshine, seorang mahasiswa pascasarjana Carnegie Mellon dan salah satu rekan penulisnya. "Studi kami menunjukkan secara dramatis seberapa besar masalahnya."

Itu bukan berita bagus. Seringkali peringatan muncul karena masalah teknis di situs Web, tetapi mereka juga dapat berarti bahwa surfer Web sedang dialihkan entah bagaimana ke situs Web palsu. URL untuk situs web aman dimulai dengan "https."

Para peneliti pertama kali melakukan survei online terhadap lebih dari 400 peselancar Web, untuk mempelajari apa yang mereka pikirkan tentang peringatan sertifikat. Mereka kemudian membawa 100 orang ke lab dan mempelajari bagaimana mereka menjelajahi Web.

Mereka menemukan bahwa orang sering memiliki pemahaman yang bercampur tentang peringatan sertifikat. Misalnya, banyak yang mengira mereka dapat mengabaikan pesan ketika mengunjungi situs yang mereka percaya, tetapi bahwa mereka harus lebih waspada di situs yang kurang dapat dipercaya.

"Itu semacam pemahaman mundur tentang apa arti pesan-pesan ini," kata Sunshine. "Pesan tersebut memvalidasi bahwa Anda mengunjungi situs yang Anda kunjungi, bukan bahwa situs itu dapat dipercaya."

Jika situs Web perbankan menunjukkan pesan bahwa sertifikat keamanannya tidak valid, itu pertanda buruk, kata pakar keamanan. Itu bisa berarti peselancar Web menjadi sasaran serangan yang disebut orang-di-tengah. Dalam jenis serangan ini, penjahat menyisipkan dirinya di antara surfer Web dan situs yang dia kunjungi, dengan harapan mencuri informasi.

Para pakar keamanan telah lama mengetahui bahwa peringatan keamanan ini tidak efektif, kata Jeremiah Grossman, kepala staf teknologi dengan Konsultasi keamanan web White Hat Security. Itu karena pengguna "benar-benar tidak tahu apa artinya risiko keamanan," katanya melalui pesan instan. "Jadi mereka mengambil spekulasi."

Di browser Firefox 3, Mozilla mencoba menggunakan bahasa yang lebih sederhana dan peringatan lebih baik untuk sertifikat yang buruk. Dan browser membuatnya lebih sulit untuk mengabaikan peringatan sertifikat yang buruk. Di lab Carnegie Mellon, pengguna Firefox 3 kemungkinan paling kecil untuk mengklik setelah diperlihatkan peringatan.

Para peneliti bereksperimen dengan beberapa peringatan keamanan yang didesain ulang yang mereka tulis sendiri, yang tampaknya lebih efektif. Mereka berencana untuk melaporkan temuan mereka pada tanggal 14 Agustus di Simposium Keamanan Usenix di Montreal.

Namun, Sunshine yakin bahwa peringatan yang lebih baik hanya akan sangat membantu. Alih-alih peringatan, browser harus menggunakan sistem yang dapat menganalisis pesan kesalahan. "Jika sistem-sistem itu memutuskan bahwa ini kemungkinan akan menjadi serangan, mereka harus memblokir pengguna sama sekali," katanya.

Bahkan ketika mengunjungi situs web penting seperti bank, "orang-orang masih secara dramatis mengabaikan peringatan," katanya.