Hvad er HTTPS? – Hvad du har brug for at vide

Selvom stærk kryptering for nylig er blevet trendy, har websteder rutinemæssigt anvendt stærk ende-til-ende-kryptering i de sidste 20 år. Når alt kommer til alt, hvis websteder ikke kunne gøres meget sikre, ville ingen form for online-handel som shopping eller bankvirksomhed være mulig. Den anvendte krypteringsprotokol er HTTPS, der står for HTTP Secure (eller HTTP over SSL / TLS). Det bruges af ethvert websted, der har brug for at sikre brugere og er den grundlæggende rygrad i al sikkerhed på Internettet.


HTTPS bruges også i stigende grad af websteder, hvor sikkerhed ikke er en hovedprioritet. Dette er i høj grad øget bekymring over generelle internetbeskyttelse og sikkerhedsspørgsmål i kølvandet på Edward Snowdens afsløringer af masseovervågningen.

Projekter som EFF's Let’s Encrypt-initiativ, Symantecs Encryption Everywhere-program og Mozilla, der vælger at afskrive ikke-HTTPS-sikrede søgeresultater, har imidlertid fremskyndet den generelle vedtagelse af protokollen.

Så hvad gør HTTPS?

Når du besøger et ikke-sikkert HTTP-websted overføres alle data ukrypteret, så enhver, der ser, kan se alt, hvad du gør, mens du besøger dette websted (inklusive ting som f.eks. Dine transaktionsoplysninger, når du foretager betalinger online). Det er endda muligt at ændre de overførte data mellem dig og webserveren.

Med HTTPS forekommer en kryptografisk nøgleudveksling, når du først opretter forbindelse til webstedet, og alle efterfølgende handlinger på webstedet er krypteret og derfor skjult for nysgerrige øjne. Bemærk, at enhver, der ser, kan se, at du har besøgt et bestemt websted, men ikke kan se, hvilke individuelle sider du læser, eller andre data, der er overført, mens du er på det websted.

For eksempel er ProPrivacy-webstedet sikret ved hjælp af HTTPS. Hvis du antager, at du ikke bruger et stykke tid på at læse denne webside, kan din internetudbyder se, at du har besøgt proprivacy.com, men kan ikke se, at du læser netop denne artikel.

Hvis du bruger en VPN, kan din VPN-udbyder se de samme oplysninger, men en god en vil bruge delte IP'er, så den ikke ved, hvilken af ​​dens mange brugere, der besøgte proprivacy.com, og den vil kassere alle logfiler, der vedrører besøg alligevel.

Bemærk, at HTTPS bruger kryptering fra ende til ende, så alle data, der passerer mellem din computer (eller smartphone osv.) Og dette websted, er krypteret. Dette betyder, at du sikkert kan få adgang til HTTPS-websteder, selv når du er tilsluttet usikrede offentlige WiFi-hotspots og lignende.

Hvordan ved jeg, om et websted er sikkert?

Det er let at se, om et websted, du besøger, er sikret af HTTPS:

  1. I alt ser du et låst hængelåsikon til venstre for hovedwebadressen / søgefeltet.
  2. I de fleste tilfælde starter webadressen med https: //. (Ikke-sikrede websteder starter med http: //, men både https: // og http: // er ofte skjult.)

Usikret hjemmeside Firefox - ingen HTTPS

Usikret websted Chrome

Her er eksempler på usikrede websteder (Firefox og Chrome). Bemærk, at webadresserne (URL'erne) ikke begynder med https: og at der ikke vises noget hængelåsikon til venstre for søgefeltet

Sikker hjemmeside Firefox

Sikker websted Chrome

Sikker webside Edge

Her er nogle sikre HTTPS-websteder i Firefox, Chrome og Microsoft Edge. Selvom de alle ser lidt anderledes ud, kan vi tydeligt se et lukket hængelåsikon ved siden af ​​adresselinjen i dem alle. Bemærk, at i modsætning til de fleste browsere, viser Edge ikke https: // i starten af ​​URL-adressen. Du vil også bemærke, at ikonet kan være enten grønt eller gråt ...

Hvad er forskellen mellem grønne og grå hængelåseikoner?

Hvis der vises et hængelåsikon, er webstedet sikkert. Hvis ikonet er grønt, angiver det imidlertid, at webstedet har præsenteret din browser med et udvidet valideringscertifikat (EV). Disse er beregnet til at bekræfte, at det fremlagte SSL-certifikat er korrekt for domænet, og at domænenavnet hører til det firma, du forventer at eje webstedet.

I teorien skal du så have større tillid til websteder, der viser en grøn hængelås. I praksis kan valideringssystemet imidlertid være forvirrende.

nwolb

For eksempel er NatWest banks online bankadresse (www.nwolb.com) i Storbritannien sikret af en EV, der hører til, hvad den afslappede observatør måtte synes om som en high street-konkurrent - Royal Bank of Scotland. Medmindre du ved, at NatWest ejes af RBS, kan dette føre til mistillid til certifikatet, uanset om din browser har givet det et grønt ikon.

Forvirring kan også være forårsaget af det faktum, at forskellige browsere undertiden bruger forskellige kriterier for at acceptere Firefox og Chrome, for eksempel viser en grøn hængelås, når du besøger Wikipedia.com, men Microsoft Edge viser et gråt ikon.

Generelt bør sund fornuft være fremherskende. Hvis du besøger Google, og webadressen er www.google.com, kan du være temmelig sikker på, at domænet hører til Google, uanset hvad hængelåsikonet er!

Andre hængelåsikoner

Du kan også støde på andre hængelåseikoner, der angiver ting som blandet indhold (webstedet er kun delvist krypteret og forhindrer ikke aflytning) og dårlige eller udløbne SSL-certifikater. Sådanne websteder er ikke sikker.

Yderligere Information

I alle browsere kan du finde ud af yderligere oplysninger om SSL-certifikatet, der bruges til at validere HTTPS-forbindelsen ved at klikke på hængelåsikonet.

HTTPS mere info

De fleste browsere tillader at grave videre og se endda selve SSL-certifikatet

Hvordan fungerer HTTPS faktisk?

Navnet Hypertext Transfer Protocol (HTTP) betegner dybest set standard usikret (det er applikationsprotokollen, der tillader websider at oprette forbindelse til hinanden via hyperlinks).

HTTPS-websider er sikret ved hjælp af TLS-kryptering med og og godkendelsesalgoritmer bestemt af webserveren.

TLS detaljer

De fleste browsere vil give dig detaljer om den TLS-kryptering, der bruges til HTTPS-forbindelser. Dette er den kryptering, der bruges af ProPrivacy, som vist i Firefox. Mere information om mange af de anvendte udtryk kan findes her

For at forhandle om en ny forbindelse bruger HTTPS X.509 Public Key Infrastructure (PKI), et asymmetrisk nøglekrypteringssystem, hvor en webserver præsenterer en offentlig nøgle, der dekrypteres ved hjælp af en browsers private nøgle. For at sikre mod et mand-i-midten-angreb bruger X.509 HTTPS-certifikater - små datafiler, der digitalt binder et websteds offentlige kryptografiske nøgle til en organisations detaljer.

Et HTTPS-certifikat udstedes af en anerkendt Certificate Authority (CA), der certificerer ejerskabet af en offentlig nøgle af det navngivne emne på certifikatet - der handler i kryptografiske vilkår som en betroet tredjepart (TTP).

Hvis et websted viser din browser et certifikat fra en anerkendt CA, vil din browser bestemme, at webstedet er ægte (a viser et lukket hængelåsikon). Og som tidligere nævnt er udvidede valideringscertifikater (EVs) et forsøg på at forbedre tilliden til disse SSL-certifikater.

HTTPS overalt

Mange websteder kan bruge, men ikke som standard. I sådan er det ofte muligt at få adgang til dem sikkert ved blot at præfikse deres webadresse med https: // (i stedet for: //). En meget bedre løsning er imidlertid at bruge HTTPS overalt.

Dette er en gratis og open source browserudvidelse udviklet af et samarbejde mellem og Electronic Frontier Foundation. Når den er installeret, bruger HTTPS Everywhere "smart teknologi til at omskrive anmodninger til disse websteder til HTTPS."

Hvis en HTTPS-forbindelse er tilgængelig, forsøger udvidelsen at forbinde dig sikkert til webstedet via HTTPS, selvom dette ikke udføres som standard. Hvis der overhovedet ikke er nogen HTTPS-forbindelse tilgængelig, opretter du forbindelse via almindelig usikker HTTP.

Med HTTPS Overalt installeret vil du oprette forbindelse til mange flere websteder sikkert, og vi derfor anbefaler stærkt installerer det. HTTP Overalt er tilgængeligt for Firefox (inklusive Firefox til Android), Chrome og Opera.

Problemer med HTTPS

Falske SSL-certifikater

Det største problem med HTTPS er, at hele systemet er afhængig af et web af tillid - vi stoler på CA'er, der kun udsteder SSL-certifikater til verificerede domænejere. Imidlertid…

Der findes omkring 1200 CA'er, der kan underskrive certifikater for domæner, der vil blive accepteret af næsten enhver browser. Selvom det at blive CA er involveret i at gennemgå mange formaliteter (ikke bare nogen kan oprette sig som en CA!), Kan de (og bliver) lænes på af regeringer (det største problem), skræmme af skurke eller hacket af kriminelle for at udstede falsk certifikater.

Det betyder at:

  1. Med hundreder af certifikatautoriteter kræver det kun et "dårligt æg", der udsteder dodgy certifikater for at kompromittere hele systemet
  2. Når et certifikat er udstedt, er der ingen måde at tilbagekalde dette certifikat bortset fra at browserproducenten udsteder en fuld opdatering af browseren.

Hvis din browser besøger et kompromitteret websted og får præsenteret det, der ligner et gyldigt HTTPS-certifikat, vil den starte, hvad den mener er en sikker forbindelse, og vil vise en hængelås i URL-adressen.

Den skræmmende ting er, at kun en af ​​de 1200+ CA'er skal være kompromitteret for din browser at acceptere forbindelsen. Som denne EFF-artikel observerer,

Kort sagt: der er mange måder at bryde HTTPS / TLS / SSL i dag, selv når websteder gør alt godt. Som det i øjeblikket er implementeret, kan webets sikkerhedsprotokoller være gode nok til at beskytte mod angribere med begrænset tid og motivation, men de er utilstrækkelige til en verden, hvor geopolitiske og forretningsmæssige konkurrencer i stigende grad spilles gennem angreb mod sikkerhed i computersystemer..

Peter Eckersley

Desværre er dette problem langt fra teoretisk. Desværre er der ingen generelt anerkendte løsninger, skønt der sammen med EV'er bruges offentlig nøglefæstning af de fleste moderne websteder i et forsøg på at tackle problemet.

Når en offentlig nøgle fastgøres, forbinder browseren en webstedshost med deres forventede HTTPS-certifikat eller offentlige nøgle (denne forening er "fastgjort" til værten), og hvis den præsenteres med et uventet certifikat eller nøgle, nægter den at acceptere forbindelsen og udstede dig med en advarsel.

Electronic Frontier Foundation (EFF) startede også et SSL Observatory-projekt med det formål at undersøge alle certifikater, der blev brugt til at sikre internettet, og opfordrede offentligheden til at sende det certifikater til analyse. Så vidt jeg ved, er dette projekt dog aldrig rigtigt slukket og har ligget sovende i årevis.

Trafikanalyse

Forskere har vist, at trafikanalyse kan bruges på HTTPS-forbindelser til at identificere individuelle websider, der er besøgt af et mål på HTTPS-sikrede websteder med 89 nøjagtighed.

Selvom der er bekymrende, vil enhver sådan analyse udgøre et meget målrettet angreb mod et specifikt offer.

HTTPS konklusion

Selvom den ikke er perfekt (men hvad er der?), Er HTTPS en god sikkerhedsforanstaltning for websteder. Hvis det ikke var tilfældet, ville ingen af ​​milliarder af økonomiske transaktioner og overførsler af personlige data, der sker hver dag på Internettet, være mulig, og internettet selv (og muligvis verdensøkonomien!) Ville kollapse natten over.

At HTTPS-implementering i stigende grad bliver standard på websteder er fantastisk til både og for privatlivets fred (da det gør jobbet for NSA og dets meget meget sværere!).

Den vigtigste ting at huske er altid at tjekke for et lukket hængelåsikon, når du gør noget, der kræver sikkerhed eller privatliv på internettet. Hvis du bruger en usikker internetforbindelse (f.eks. En offentlig WiFi-hotspot) kan du stadig surfe på internettet sikkert, så længe du kun besøger HTTPS-krypterede websteder.

Hvis du af en eller anden grund er bekymret for et websted, kan du tjekke dets SSL-certifikat for at se, om det hører til den ejer, du ville forvente af dette websted.

TL er, at takket være HTTPS kan du surfe på websteder sikkert og privat, hvilket er fantastisk til din ro i sindet!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me