Vad är HTTPS? – Vad du behöver veta

Även om stark kryptering nyligen har blivit trendig, har webbplatser rutinmässigt använt stark end-to-end-kryptering under de senaste 20 åren. Trots allt, om webbplatser inte kunde göras särskilt säkra, skulle ingen form av onlineshandel som shopping eller banker vara möjlig. Det krypteringsprotokoll som används för detta är HTTPS, som står för HTTP Secure (eller HTTP över SSL / TLS). Den används av alla webbplatser som behöver skydda användarna och är den grundläggande ryggraden i all säkerhet på internet.


HTTPS används också alltmer av webbplatser där säkerhet inte är en viktig prioritering. Detta är till stor del ökad oro över allmänna integritets- och säkerhetsfrågor på internet i kölvattnet av Edward Snowdens avslöjande av offentlig regeringsövervakning.

Projekt som EFF: s Let’s Encrypt-initiativ, Symantecs Encryption Everywhere-program och Mozilla som väljer att avskriva säkra sökresultat som inte är HTTPS, har dock påskyndat det allmänna antagandet av protokollet.

Så vad gör HTTPS?

När du besöker en icke-säker HTTP-webbplats överförs all data okrypterad, så att alla som tittar kan se allt du gör när du besöker den webbplatsen (inklusive saker som dina transaktionsinformation när du gör betalningar online). Det är till och med möjligt att ändra data som överförts mellan dig och webbservern.

Med HTTPS inträffar ett kryptografiskt nyckelutbyte när du först ansluter till webbplatsen, och alla efterföljande åtgärder på webbplatsen är krypterade och därför dolda från nyfikna ögon. Observera att alla som tittar kan se att du har besökt en viss webbplats, men inte kan se vilka enskilda sidor du läser eller annan information som överförts på den webbplatsen.

Till exempel är ProPrivacy-webbplatsen skyddad med HTTPS. Antagande att du inte använder ett tag medan du läser den här webbsidan din internetleverantör kan se att du har besökt proprivacy.com, men kan inte se att du läser den här artikeln.

Om du använder ett VPN kan din VPN-leverantör se samma information, men en bra kommer att använda delade IP-adresser så att den inte vet vilka av dess många användare som besökte proprivacy.com, och den kommer att kassera alla loggar som är relaterade till besök ändå.

Observera att HTTPS använder en-till-en-kryptering, så all data som passerar mellan din dator (eller smartphone osv.) Och den webbplatsen är krypterad. Detta innebär att du säkert kan komma åt HTTPS-webbplatser även om du är ansluten till offentliga WiFi-hotspots och liknande.

Hur vet jag om en webbplats är säker?

Det är lätt att säga om en webbplats du besöker är skyddad av HTTPS:

  1. Sammantaget ser du en låst hänglåsikon till vänster om huvudadressen / sökfältet.
  2. I de flesta kommer webbadressen att börja med https: //. (Osäkrade webbplatser börjar med http: //, men både https: // och http: // är ofta dolda.)

Osäkrad webbplats Firefox - ingen HTTPS

Osäker webbplats Chrome

Här är exempel på osäkra webbplatser (Firefox och Chrome). Observera att webbadresserna (URL: er) inte börjar med https: och att ingen hänglåsikon visas till vänster om sökfältet

Skyddad webbplats Firefox

Säker webbplats Chrome

Säker webbplats Edge

Här är några säkra HTTPS-webbplatser i Firefox, Chrome och Microsoft Edge. Även om de alla ser något annorlunda ut kan vi tydligt se en stängd hänglåsikon bredvid adressfältet i dem alla. Observera att till skillnad från de flesta webbläsare visar Edge inte https: // i början av webbadressen. Du kommer också att märka att ikonen kan vara antingen grön eller grå ...

Vad är skillnaden mellan gröna och grå hänglåssymboler?

Om en hänglåsikon visas är webbplatsen säker. Om ikonen är grön anger den dock att webbplatsen har presenterat din webbläsare med ett utvidgat valideringscertifikat (EV). Dessa är avsedda att verifiera att SSL-certifikatet som presenteras är korrekt för domänen och att domännamnet tillhör det företag du förväntar dig att äga webbplatsen.

I teorin bör du då ha större förtroende för webbplatser som visar ett grönt hänglås. I praktiken kan valideringssystemet dock vara förvirrande.

nwolb

I Storbritannien är till exempel NatWest banks onlinebankadress (www.nwolb.com) säkrad av en EV som tillhör vad den tillfälliga observatören kan tänka sig som en high street-konkurrent - Royal Bank of Scotland. Om du inte vet att NatWest ägs av RBS kan det leda till misstro på certifikatet, oavsett om din webbläsare har gett det en grön ikon.

Förvirring kan också orsakas av att olika webbläsare ibland använder olika kriterier för att acceptera Firefox och Chrome, till exempel visar ett grönt hänglås när man besöker Wikipedia.com, men Microsoft Edge visar en grå ikon.

I allmänhet bör sunt förnuft råda. Om du besöker Google och webbadressen är www.google.com kan du vara ganska säker på att domänen tillhör Google, oavsett vad hänglåsikonen är!

Andra hänglåsikoner

Du kan också stöta på andra hänglåsikoner som anger saker som blandat innehåll (webbplatsen är bara delvis krypterad och förhindrar inte avlyssning) och dåliga eller löpt ut SSL-certifikat. Sådana webbplatser är inte säker.

Ytterligare information

I alla webbläsare kan du ta reda på ytterligare information om SSL-certifikatet som används för att validera HTTPS-anslutningen genom att klicka på hänglåsikonen.

HTTPS mer info

De flesta webbläsare tillåter gräva längre och till och med se själva SSL-certifikatet

Hur fungerar HTTPS faktiskt?

Namnet Hypertext Transfer Protocol (HTTP) betecknar i grunden standard osäkrad (det är applikationsprotokollet som gör att webbsidor kan ansluta till varandra via hyperlänkar).

HTTPS-webbsidor är säkrade med TLS-kryptering, och algoritmerna och autentiseringsalgoritmerna bestäms av webbservern.

TLS-detaljer

De flesta webbläsare ger dig information om TLS-krypteringen som används för HTTPS-anslutningar. Detta är den kryptering som används av ProPrivacy, som visas i Firefox. Mer information om många av de använda termerna hittar du här

För att förhandla om en ny anslutning använder HTTPS X.509 Public Key Infrastructure (PKI), ett asymmetriskt nyckelkrypteringssystem där en webbserver presenterar en offentlig nyckel, som dekrypteras med en webbläsares privata nyckel. För att säkerställa mot en man-i-mitten-attack använder X.509 HTTPS-certifikat - små datafiler som digitalt binder en webbplatss offentliga kryptografiska nyckel till en organisations detaljer.

Ett HTTPS-certifikat utfärdas av en erkänd certifikatutfärdare (CA) som certifierar ägandet av en offentlig nyckel av certifikatets namngivna ämne - som fungerar i kryptografiska termer som en betrodd tredje part (TTP).

Om en webbplats visar din webbläsare ett certifikat från en erkänd CA kommer din webbläsare att fastställa att webbplatsen är äkta (en visar en stängd hänglåsikon). Och som tidigare nämnts är utvidgade valideringscertifikat (EVs) ett försök att förbättra förtroendet för dessa SSL-certifikat.

HTTPS överallt

Många webbplatser kan använda men inte som standard. På sådant sätt är det ofta möjligt att komma åt dem på ett säkert sätt genom att prefixera deras webbadress med https: // (snarare än: //). En mycket bättre lösning är dock att använda HTTPS överallt.

Detta är en gratis och öppen källkodsförlängning som är utvecklad av ett samarbete mellan och Electronic Frontier Foundation. När HTTPS Everywhere är installerat använder ”smart teknik för att skriva om förfrågningar till dessa webbplatser till HTTPS.”

Om det finns en HTTPS-anslutning, kommer tillägget att försöka ansluta dig säkert till webbplatsen via HTTPS, även om detta inte utförs som standard. Om det inte finns någon HTTPS-anslutning alls kommer du att ansluta via vanlig osäker HTTP.

Med HTTPS Everywhere installerat kommer du att ansluta till många fler webbplatser säkert, och vi därför rekommenderar starkt installera det. HTTP Everywhere är tillgängligt för Firefox (inklusive Firefox för Android), Chrome och Opera.

Problem med HTTPS

Fake SSL-certifikat

Det största problemet med HTTPS är att hela systemet förlitar sig på en webb av förtroende - vi litar på att CA: er endast ska utfärda SSL-certifikat till verifierade domänägare. Dock…

Det finns cirka 1 000 CA som kan underteckna certifikat för domäner som kommer att accepteras av nästan alla webbläsare. Även om att bli CA kommer att genomgå många formaliteter (inte bara vem som helst kan sätta sig upp som CA!), Kan de (och är) lutas på av regeringar (det största problemet), skrämmas av skurkar eller hackas av brottslingar för att utfärda falskt certifikat.

Detta innebär att:

  1. Med hundratals certifikatutfärdare krävs det bara ett "dåligt ägg" som utfärdar dodgy certifikat för att äventyra hela systemet
  2. När ett certifikat har utfärdats finns det inget sätt att återkalla certifikatet förutom att webbläsartillverkaren kan utfärda en fullständig uppdatering av webbläsaren.

Om din webbläsare besöker en kompromitterad webbplats och presenteras med det som ser ut som ett giltigt HTTPS-certifikat kommer den att initiera vad den tycker är en säker anslutning och visar ett hänglås i URL: n.

Det läskiga är att bara en av de över 1 000 CA: erna måste ha komprometterats för att din webbläsare accepterar anslutningen. Som den här EFF-artikeln observerar,

Kort sagt: det finns många sätt att bryta HTTPS / TLS / SSL idag, även när webbplatser gör allt rätt. Såsom nu implementeras kan webbs säkerhetsprotokoll vara tillräckligt bra för att skydda mot angripare med begränsad tid och motivation, men de är otillräckliga för en värld där geopolitiska och affärsmässiga tävlingar i allt högre grad spelas upp genom attacker mot datorsystemens säkerhet.

Peter Eckersley

Tyvärr är detta problem långt ifrån teoretiskt. Lika tyvärr finns det inga allmänt erkända lösningar, även om det tillsammans med EV: er används nyckelpinnning av de flesta moderna webbplatser i ett försök att lösa problemet.

När publik nyckel fästs kopplar webbläsaren en webbhotellvärd med sitt förväntade HTTPS-certifikat eller offentliga nyckel (denna förening är "fäst" till värden), och om den presenteras med ett oväntat certifikat eller nyckel kommer att vägra att acceptera anslutningen och ge dig ett varning.

Electronic Frontier Foundation (EFF) startade också ett SSL Observatory-projekt med syftet att undersöka alla certifikat som användes för att säkra internet och uppmanade allmänheten att skicka det certifikat för analys. Så vitt jag känner till har emellertid detta projekt aldrig riktigt gått av och har legat vilande i flera år.

Trafikanalys

Forskare har visat att trafikanalys kan användas på HTTPS-anslutningar för att identifiera enskilda webbsidor som besöks av ett mål på HTTPS-säkrade webbplatser med 89 noggrannhet.

Även om det är oroande, skulle en sådan analys utgöra en mycket riktad attack mot ett specifikt offer.

HTTPS Slutsats

Även om det inte är perfekt (men vad är det?) Är HTTPS en bra säkerhetsåtgärd för webbplatser. Om det inte var det, skulle ingen av de miljarder finansiella transaktionerna och överföringarna av personuppgifter som händer varje dag på internet vara möjlig, och själva internet (och kanske världsekonomin!) Skulle kollapsa över en natt.

Att HTTPS-implementeringen blir alltmer standard på webbplatser är bra för både och för sekretess (eftersom det gör NSA: s och dess svårigheter mycket svårare!).

Det viktigaste att komma ihåg är att alltid leta efter en stängd hänglåsikon när du gör något som kräver säkerhet eller integritet på internet. Om du använder en osäker internetanslutning (t.ex. en offentlig WiFi-hotspot) kan du fortfarande surfa på webben säkert så länge du bara besöker HTTPS-krypterade webbplatser.

Om du av någon anledning är orolig för en webbplats kan du kontrollera SSL-certifikatet för att se om det tillhör den ägare du skulle förvänta dig av den webbplatsen.

TL är att tack vare HTTPS kan du surfa på webbplatser säkert och privat, vilket är perfekt för din sinnesfrid!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me