Hva er HTTPS? – Hva du trenger å vite

Selv om sterk kryptering nylig har blitt trendy, har nettsteder rutinemessig brukt sterk end-to-end-kryptering de siste 20 årene. Tross alt, hvis nettsteder ikke kunne gjøres veldig sikre, ville ingen form for online handel som shopping eller bankvirksomhet være mulig. Krypteringsprotokollen som brukes for dette er HTTPS, som står for HTTP Secure (eller HTTP over SSL / TLS). Det brukes av ethvert nettsted som trenger å sikre brukere og er den grunnleggende ryggraden i all sikkerhet på internett.


HTTPS blir også i økende grad brukt av nettsteder som sikkerhet ikke er en hovedprioritet for. Dette er i stor grad økt bekymring for generelle personvern og sikkerhetsspørsmål på internett i kjølvannet av Edward Snowdens avsløringer om masseovervåkning fra myndighetene.

Prosjekter som EFFs Let’s Encrypt-initiativ, Symantecs Encryption Everywhere-program og Mozilla som velger å avskrive sikrede søkeresultater som ikke er HTTPS, har imidlertid fremskyndet den generelle adopsjonen av protokollen.

Så hva gjør HTTPS?

Når du besøker et ikke-sikkert HTTP-nettsted overføres alle data ukryptert, slik at alle som ser på kan se alt du gjør mens du besøker det nettstedet (inkludert ting som transaksjonsdetaljer når du betaler online). Det er til og med mulig å endre dataene som er overført mellom deg og webserveren.

Med HTTPS oppstår en kryptografisk nøkkelutveksling når du først kobler deg til nettstedet, og alle påfølgende handlinger på nettstedet er kryptert og derfor skjult for nysgjerrige øyne. Vær oppmerksom på at alle som ser på kan se at du har besøkt et bestemt nettsted, men ikke kan se hvilke individuelle sider du leser, eller andre data som er overført mens du er på det nettstedet..

For eksempel er ProPrivacy-nettstedet sikret ved hjelp av HTTPS. Forutsatt at du ikke bruker en stund mens du leser denne websiden, kan Internett-leverandøren din se at du har besøkt proprivacy.com, men kan ikke se at du leser denne artikkelen.

Hvis du bruker en VPN, kan VPN-leverandøren din se den samme informasjonen, men en god en vil bruke delte IP-er, slik at den ikke vet hvilke av de mange brukerne som besøkte proprivacy.com, og den vil forkaste alle logger relatert til besøk uansett.

Merk at HTTPS bruker ende-til-ende-kryptering, slik at all data som går mellom datamaskinen din (eller smarttelefonen, etc.) og det nettstedet er kryptert. Dette betyr at du trygt kan få tilgang til HTTPS nettsteder selv om du er koblet til usikrede offentlige WiFi-hotspots og lignende.

Hvordan vet jeg om et nettsted er sikkert?

Det er lett å si om et nettsted du besøker er sikret av HTTPS:

  1. I det hele tatt vil du se et låst hengelåsikon til venstre for hoved-URL / søkelinjen.
  2. På de fleste vil nettadressen starte med https: //. (Usikrede nettsteder starter med http: //, men både https: // og http: // er ofte skjult.)

Usikret nettsted Firefox - ingen HTTPS

Usikret nettsted Chrome

Her er eksempler på usikrede nettsteder (Firefox og Chrome). Legg merke til at nettadressene (URL-ene) ikke begynner med https: og at ingen hengelåsikon vises til venstre for søkefeltet

Sikret nettsted Firefox

Sikret nettsted Chrome

Sikret nettsted Edge

Her er noen sikre HTTPS-nettsteder i Firefox, Chrome og Microsoft Edge. Selv om de alle ser litt annerledes ut, kan vi tydelig se et lukket hengelåsikon ved siden av adressefeltet i dem alle. Merk at i motsetning til de fleste nettlesere, viser Edge ikke https: // i begynnelsen av URL-en. Du vil også merke at ikonet kan være grønt eller grått ...

Hva er forskjellen mellom grønne og grå hengelåsikoner?

Hvis et hengelåseikon vises, er nettstedet sikkert. Hvis ikonet er grønt, indikerer det imidlertid at nettstedet har presentert nettleseren din med et utvidet valideringssertifikat (EV). Disse er ment for å bekrefte at SSL-sertifikatet som presenteres stemmer for domenet, og at domenenavnet tilhører selskapet du forventer å eie nettstedet.

I teorien bør du da ha større tillit til nettsteder som viser en grønn hengelås. I praksis kan imidlertid valideringssystemet være forvirrende.

nwolb

I Storbritannia er for eksempel NatWest banks nettbankadresse (www.nwolb.com) sikret av en EV som tilhører det den tilfeldige observatøren kan tenke på som en high street-konkurrent - Royal Bank of Scotland. Med mindre du vet at NatWest eies av RBS, kan dette føre til mistillit til sertifikatet, uavhengig av om nettleseren din har gitt det et grønt ikon.

Forvirring kan også være forårsaket av at forskjellige nettlesere noen ganger bruker forskjellige kriterier for å akseptere Firefox og Chrome, for eksempel viser en grønn hengelås når du besøker Wikipedia.com, men Microsoft Edge viser et grått ikon.

Generelt sett bør sunn fornuft råde. Hvis du besøker Google og URL-adressen er www.google.com, kan du være ganske sikker på at domenet tilhører Google, uansett hva hengelåsikonet er!

Andre hengelåsikoner

Du kan også støte på andre hengelåsesymboler som angir ting som blandet innhold (nettstedet er bare delvis kryptert og forhindrer ikke avlytting) og dårlige eller utløpte SSL-sertifikater. Slike nettsteder er ikke sikker.

Ytterligere informasjon

I alle nettlesere kan du finne ut mer informasjon om SSL-sertifikatet som brukes til å validere HTTPS-tilkoblingen ved å klikke på hengelåsikonet.

HTTPS mer info

De fleste nettlesere tillater å grave videre, og se til og med selve SSL-sertifikatet

Hvordan fungerer HTTPS faktisk?

Navnet Hypertext Transfer Protocol (HTTP) betegner i utgangspunktet standard usikret (det er applikasjonsprotokollen som lar websider koble seg til hverandre via hyperkoblinger).

HTTPS websider er sikret ved hjelp av TLS-kryptering, med og autentiseringsalgoritmer bestemt av webserveren.

TLS detaljer

De fleste nettlesere vil gi deg detaljer om TLS-krypteringen som brukes for HTTPS-tilkoblinger. Dette er krypteringen som brukes av ProPrivacy, som vist i Firefox. Mer informasjon om mange av begrepene som brukes finner du her

For å forhandle om en ny tilkobling bruker HTTPS X.509 Public Key Infrastructure (PKI), et asymmetrisk nøkkelkrypteringssystem der en webserver presenterer en offentlig nøkkel, som dekrypteres ved hjelp av nettleserens private nøkkel. For å sikre mot et menneske-i-midten-angrep bruker X.509 HTTPS-sertifikater - små datafiler som digitalt binder nettstedets offentlige kryptografiske nøkkel til en organisasjons detaljer.

Et HTTPS-sertifikat er utstedt av en anerkjent Certificate Authority (CA) som sertifiserer eierskapet til en offentlig nøkkel av det navngitte emnet på sertifikatet - som fungerer i kryptografiske termer som en pålitelig tredjepart (TTP).

Hvis et nettsted viser nettleseren et sertifikat fra en anerkjent CA, vil nettleseren bestemme at nettstedet skal være ekte (a viser et lukket hengelåsikon). Og som nevnt tidligere, Extended Validation Certificate (EVs) er et forsøk på å forbedre tilliten til disse SSL-sertifikatene.

HTTPS overalt

Mange nettsteder kan bruke, men ikke som standard. I slike er det ofte mulig å få tilgang til dem ganske enkelt ved å prefikse nettadressen deres med https: // (i stedet for: //). En mye bedre løsning er imidlertid å bruke HTTPS Everywhere.

Dette er en gratis og åpen kildekode-nettleserutvidelse utviklet av et samarbeid mellom og Electronic Frontier Foundation. Når den er installert, bruker HTTPS Everywhere "smart teknologi for å omskrive forespørsler til disse nettstedene til HTTPS."

Hvis en HTTPS-tilkobling er tilgjengelig, vil utvidelsen prøve å koble deg sikkert til nettstedet via HTTPS, selv om dette ikke er utført som standard. Hvis det ikke er noen HTTPS-tilkobling i det hele tatt, kobler du til via vanlig usikker HTTP.

Med HTTPS Everywhere installert vil du koble til mange flere nettsteder sikkert, og vi derfor anbefaler på det sterkeste installere den. HTTP Everywhere er tilgjengelig for Firefox (inkludert Firefox for Android), Chrome og Opera.

Problemer med HTTPS

Falske SSL-sertifikater

Det største problemet med HTTPS er at hele systemet er avhengig av et nett av tillit - vi stoler på at CAer bare skal utstede SSL-sertifikater til bekreftede domeneeiere. Men…

Det finnes rundt 1200 CA som kan signere sertifikater for domener som vil bli akseptert av nesten hvilken som helst nettleser. Selv om det å bli CA innebærer å gjennomgå mange formaliteter (ikke bare hvem som helst kan stille seg opp som CA!), Kan de bli (og blir) lutet av regjeringer (det største problemet), skremt av kjeltringer eller hacket av kriminelle for å utstede usanne sertifikater.

Dette betyr at:

  1. Med hundrevis av sertifiseringsmyndigheter krever det bare ett ‘dårlig egg’ som gir ut dodgy sertifikater for å kompromittere hele systemet
  2. Når et sertifikat er utstedt, er det ingen måte å tilbakekalle det sertifikatet bortsett fra at nettleserprodusenten kan utstede en fullstendig oppdatering av nettleseren.

Hvis nettleseren din besøker et kompromittert nettsted og får presentert det som ser ut som et gyldig HTTPS-sertifikat, vil den sette i gang det den mener er en sikker tilkobling, og vil vise en hengelås i URL-en.

Det skumle er at bare en av de over 1200 CA-ene trenger å ha blitt kompromittert for at nettleseren din skal godta tilkoblingen. Som denne EFF-artikkelen observerer,

Kort sagt: det er mange måter å bryte HTTPS / TLS / SSL i dag, selv når nettsteder gjør alt riktig. Slik den implementeres for øyeblikket, kan nettets sikkerhetsprotokoller være gode nok til å beskytte mot angripere med begrenset tid og motivasjon, men de er utilstrekkelige for en verden der geopolitiske og forretningsmessige konkurranser i økende grad spilles ut gjennom angrep mot sikkerheten til datasystemer..

Peter Eckersley

Dessverre er dette problemet langt fra teoretisk. Like dessverre er det ingen generelt anerkjente løsninger, selv om offentlig nøkkel-festing brukes av de fleste moderne nettsteder sammen med EV-er, i et forsøk på å takle problemet.

Når den offentlige nøkkelen er festet, knytter nettleseren en webhotellvert med det forventede HTTPS-sertifikatet eller den offentlige nøkkelen (denne foreningen er "festet" til verten), og hvis den blir presentert med et uventet sertifikat eller nøkkel vil nekte å godta forbindelsen og gi deg en advarsel.

Electronic Frontier Foundation (EFF) startet også et SSL Observatory-prosjekt med sikte på å undersøke alle sertifikater som ble brukt for å sikre internett, og inviterte publikum til å sende det sertifikater for analyse. Så vidt jeg vet, har imidlertid dette prosjektet aldri kommet av og har ligget i dvale i årevis.

Trafikkanalyse

Forskere har vist at trafikkanalyse kan brukes på HTTPS-tilkoblinger for å identifisere individuelle websider som besøkes av et mål på HTTPS-sikrede nettsteder med 89 nøyaktighet.

Selv om det er bekymringsfullt, vil en slik analyse utgjøre et høyt målrettet angrep mot et spesifikt offer.

HTTPS Konklusjon

Selv om den ikke er perfekt (men hva er?), Er HTTPS et godt sikkerhetstiltak for nettsteder. Hvis det ikke var det, ville ingen av milliardene av økonomiske transaksjoner og overføringer av personopplysninger som skjer hver dag på internett være mulig, og internett (og muligens verdensøkonomien!) Ville kollapse over natten.

At HTTPS-implementering i økende grad blir standard på nettsteder er bra for både og for personvern (ettersom det gjør jobben til NSA og dens mye vanskeligere!).

Det viktigste å huske er å alltid se etter et lukket hengelåsikon når du gjør noe som krever sikkerhet eller personvern på internett. Hvis du bruker en usikker internettforbindelse (for eksempel en offentlig WiFi-hotspot), kan du fremdeles surfe på nettet så lenge du bare besøker HTTPS-krypterte nettsteder.

Hvis du av en eller annen grunn er bekymret for et nettsted, kan du sjekke SSL-sertifikatet for å se om det tilhører eieren du forventer av det nettstedet..

TL er at takket være HTTPS kan du surfe på nettsteder sikkert og privat, noe som er flott for din sjelefred!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me