Mikä on HTTPS? – Mitä sinun tarvitsee tietää

Vaikka vahva salaus on viime aikoina tullut trendikkääksi, verkkosivustot ovat käyttäneet rutiininomaisesti vahvaa kokonais salausta viimeisten 20 vuoden aikana. Loppujen lopuksi, jos verkkosivustoja ei voida tehdä erittäin turvallisiksi, niin verkkokaupan muodot kuin ostokset tai pankkitoiminta eivät olisi mahdollisia. Tätä varten käytetään salausprotokollaa HTTPS, joka tarkoittaa HTTP Secure (tai HTTP over SSL / TLS). Sitä käyttää kaikki verkkosivustot, joiden on turvattava käyttäjien suojaus, ja se on kaiken Internetin tietoturvan perusta.


HTTPS: ää käytetään yhä enemmän myös verkkosivustoissa, joiden turvallisuus ei ole tärkeä prioriteetti. Tämä on suurelta osin lisääntynyt huolenaihe yleisiin Internetin yksityisyyden ja turvallisuuden ongelmiin Edward Snowdenin joukkohallituksen paljastumisen seurauksena.

Projektit, kuten EKTR: n Let’s Encrypt -aloite, Symantecin Encryption Everywhere -ohjelma ja Mozilla, jotka päättävät poistaa ei-HTTPS-suojatut hakutulokset, ovat kuitenkin nopeuttaneet protokollan yleistä käyttöönottoa..

Joten mitä HTTPS tekee?

Kun vierailet ei-suojatussa HTTP-verkkosivustossa, kaikki tiedot siirretään salaamattomasti, joten kuka tahansa tarkkaileva voi nähdä kaiken, mitä teet verkkosivustolla käydessäsi (mukaan lukien muun muassa transaktion yksityiskohdat, kun suoritat maksuja verkossa). On jopa mahdollista muuttaa sinun ja verkkopalvelimen välillä siirrettyä tietoa.

HTTPS: n avulla salaustekijöiden vaihto tapahtuu, kun muodostat yhteyden ensin verkkosivustoon, ja kaikki seuraavat verkkosivuston toiminnot ovat salattuja, ja siksi ne piilossa uteliailta silmiltä. Huomaa, että kuka tahansa katseleva voi nähdä, että olet käynyt tietyllä verkkosivustolla, mutta ei näe mitä lukemasi yksittäiset sivut tai muut siirretyt tiedot ovat tällä sivustolla.

Esimerkiksi ProPrivacy-verkkosivusto on suojattu HTTPS: llä. Olettaen, että et käytä jonkin aikaa tätä verkkosivua lukeessasi, Internet-palveluntarjoajasi voi nähdä, että olet käynyt sivustossa proprivacy.com, mutta et voi nähdä, että luet tätä artikkelia.

Jos käytät VPN: tä, VPN-palveluntarjoajasi näkee samat tiedot, mutta hyvä käyttää jaettuja IP-osoitteita, joten se ei tiedä, mikä sen monista käyttäjistä vieraili proprivacy.com-sivustossa, ja se hylkää kaikki lokit, jotka liittyvät käy joka tapauksessa.

Huomaa, että HTTPS käyttää päästä päähän -salausta, joten kaikki tietokoneesi (tai älypuhelimen jne.) Ja kyseisen verkkosivuston välillä kulkeva tieto on salattu. Tämä tarkoittaa, että pääset turvallisesti käyttämään HTTPS-verkkosivustoja, vaikka ne olisivat yhteydessä suojaamattomiin julkisiin WiFi-yhteyspisteisiin ja vastaaviin.

Kuinka tiedän, onko verkkosivusto suojattu?

On helppo selvittää, suojaako käymäsi verkkosivusto HTTPS: llä:

  1. Kaiken kaikkiaan näet lukitun riippulukon kuvakkeen pää-URL- / hakupalkin välittömässä vasemmalla puolella.
  2. Suurimmassa osassa verkko-osoite alkaa https: //. (Suojaamattomat verkkosivustot alkavat merkillä http: //, mutta sekä https: // että http: // ovat usein piilossa.)

Suojaamaton verkkosivusto Firefox - ei HTTPS

Suojaamaton verkkosivusto Chrome

Tässä on esimerkkejä suojaamattomista verkkosivustoista (Firefox ja Chrome). Huomaa, että verkko-osoitteet (URL-osoitteet) eivät alga https: llä ja että lukkorivikuvaketta ei näy hakupalkin vasemmalla puolella

Suojattu verkkosivusto Firefox

Suojattu verkkosivusto Chrome

Suojattu verkkosivun reuna

Tässä on joitain suojattuja HTTPS-verkkosivustoja Firefoxissa, Chromessa ja Microsoft Edgessä. Vaikka ne kaikki näyttävätkin hiukan erilaisilta, näemme kaikissa osoitekentän vieressä selvästi suljetun riippulukon kuvakkeen. Huomaa, että toisin kuin useimmat selaimet, Edge ei näytä https: // URL-osoitteen alussa. Huomaat myös, että kuvake voi olla joko vihreä tai harmaa ...

Mitä eroa vihreän ja harmaan riippulukon kuvakkeiden välillä on??

Jos riippulukon kuvake näkyy, verkkosivusto on suojattu. Jos kuvake on kuitenkin vihreä, se tarkoittaa, että verkkosivusto on toimittanut selaimellesi laajennetun validointitodistuksen (EV). Niiden tarkoituksena on varmistaa, että esitetty SSL-varmenne on oikein verkkotunnukselle ja että verkkotunnus kuuluu yritykselle, jonka olettaa omistavan verkkosivuston..

Teoriassa sinun pitäisi siis luottaa enemmän verkkosivustoihin, joissa on vihreä riippulukko. Käytännössä validointijärjestelmä voi kuitenkin olla hämmentävä.

nwolb

Esimerkiksi Yhdistyneessä kuningaskunnassa NatWest-pankin verkkopankkipalvelun osoite (www.nwolb.com) on turvattu EV: llä, joka kuuluu siihen, mitä satunnainen tarkkailija voi ajatella kaduilla toimivana kilpailijana - Royal Bank of Scotland. Ellet tiedä, että NatWest on RBS: n omistama, tämä voi johtaa epäluottamuslausekkeeseen riippumatta siitä, onko selaimesi antanut sille vihreän kuvakkeen.

Hämmennystä voi aiheuttaa myös se, että eri selaimet käyttävät joskus erilaisia ​​kriteerejä Firefoxin ja Chromen hyväksymiseen, esimerkiksi näyttävät vihreän riippulukon käydessään Wikipedia.com-sivustossa, mutta Microsoft Edge näyttää harmaan kuvakkeen.

Yleisesti ottaen terveen järjen tulisi olla etusijalla. Jos vierailet Googlessa ja URL-osoite on www.google.com, voit olla melko varma, että verkkotunnus kuuluu Googlelle riippumatta riippulukon kuvakkeesta!

Muut riippulukon kuvakkeet

Voit kohdata myös muita riippulukon kuvakkeita, jotka kuvaavat esimerkiksi sekoitettua sisältöä (verkkosivusto on vain osittain salattu ja ei estä salakuuntelua) ja huonoja tai vanhentuneita SSL-varmenteita. Tällaiset sivustot ovat ole turvallinen.

Lisäinformaatio

Kaikista selaimista saat lisätietoja SSL-sertifikaatista, jota käytetään HTTPS-yhteyden vahvistamiseen napsauttamalla riippulukon kuvaketta.

HTTPS lisätietoja

Useimmat selaimet sallivat kaivaa edelleen, ja jopa katsella itse SSL-varmennetta

Kuinka HTTPS todella toimii?

Nimi Hypertext Transfer Protocol (HTTP) tarkoittaa periaatteessa suojaamattomia vakiovarusteita (sovellusprotokolla antaa verkkosivuille yhteyden toisiinsa hyperlinkkien kautta)..

HTTPS-verkkosivut suojataan TLS-salauksella käyttämällä Web-palvelimen määrittämiä ja todennusalgoritmeja.

TLS-tiedot

Useimmat selaimet antavat sinulle tietoja HTTPS-yhteyksien TLS-salauksesta. Tämä on ProPrivacyn käyttämä salaus, sellaisena kuin se näkyy Firefoxissa. Lisätietoja monista käytetyistä termeistä löytyy täältä

Uuden yhteyden neuvottelemiseksi HTTPS käyttää epäsymmetrisen avaimen salausjärjestelmää (PKI) X.509 Public Key Infrastructure (PKI), jossa web-palvelin esittelee julkisen avaimen, joka salataan selaimen yksityisen avaimen avulla. X.509 käyttää varmuuden takia keskinäisen hyökkäystä HTTPS-varmenteilla - pienillä datatiedostoilla, jotka sitovat digitaalisesti verkkosivuston julkisen salausavaimen organisaation yksityiskohtiin.

Hyväksytty varmentaja (CA) myöntää HTTPS-sertifikaatin, joka varmentaa nimetyn varmenteen kohteena olevan julkisen avaimen omistajuuden - toimien salauksen muodossa luotettavana kolmantena osapuolena (TTP).

Jos verkkosivusto näyttää selaimellesi tunnustetun CA: n varmenteen, selaimesi määrittää sivuston olevan aito (a osoittaa suljetun riippulukon kuvaketta). Ja kuten aiemmin todettiin, laajennetut validointisertifikaatit (EV) ovat yrityksiä parantaa luottamusta näihin SSL-varmenteisiin.

HTTPS kaikkialla

Monet sivustot voivat käyttää, mutta eivät ole oletusarvoisesti. Tällaisissa tapauksissa on usein mahdollista päästä niihin turvallisesti yksinkertaisesti liittämällä heidän verkko-osoitteeseensa https: // (eikä //). Paljon parempi ratkaisu on kuitenkin käyttää HTTPS kaikkialla.

Tämä on ilmainen ja avoimen lähdekoodin selainlaajennus, jonka ovat kehittäneet yhteistyössä Electronic Frontier Foundation. Asennuksensa jälkeen HTTPS Everywhere käyttää ”älykästä tekniikkaa näiden sivustojen pyyntöjen kirjoittamiseen uudelleen HTTPS: lle”.

Jos HTTPS-yhteys on saatavana, laajennus yrittää yhdistää sinut turvallisesti verkkosivustoon HTTPS: n kautta, vaikka tätä ei suoritettaisi oletuksena. Jos HTTPS-yhteyttä ei ole lainkaan käytettävissä, muodostat yhteyden tavallisen epävarman HTTP-yhteyden kautta.

Kun HTTPS Everywhere on asennettu, yhdistät turvallisesti moniin muihin verkkosivustoihin, ja siksi mekin vahvasti suositeltu asennat sen. HTTP Everywhere on saatavana Firefoxille (mukaan lukien Firefox Androidille), Chromelle ja Operalle.

Ongelmia HTTPS: n kanssa

Vääriä SSL-varmenteita

Suurin ongelma HTTPS: ssä on, että koko järjestelmä luottaa luottamusverkkoon - luotamme siihen, että CA antaa vain SSL-varmenteita todennetuille verkkotunnuksen omistajille. Kuitenkin…

On olemassa noin 1200 CA: ta, jotka voivat allekirjoittaa varmenteita verkkotunnuksille, jotka lähes kaikki selaimet hyväksyvät. Vaikka CA: ksi tulee monien muodollisuuksien suorittaminen (ei vain kuka tahansa voi asettua CA: ksi!), Hallitukset voivat (ja ovat) hoitaa ne (suurin ongelma), pelotella huijauksia tai rikolliset hakkeroineet antaakseen vääriä tietoja todistukset.

Se tarkoittaa, että:

  1. Satojen sertifikaattiviranomaisten kanssa vain yksi "paha muna" -todistusten myöntäminen vaarantaa koko järjestelmän
  2. Kun varmenne on annettu, sertifikaattia ei voi peruuttaa, paitsi jos selaimen valmistaja julkaisee selaimen täydellisen päivityksen.

Jos selaimesi vierailee vaarannetussa verkkosivustossa ja sinulle näytetään, mikä näyttää kelvolliselta HTTPS-varmenteelta, se aloittaa mielestäsi turvallisen yhteyden ja näyttää riippulukon URL-osoitteessa.

Pelottava asia on, että vain yhden 1200+ CA-varmennuksesta on oltava vaarantunut, jotta selaimesi hyväksyy yhteyden. Kuten tämä EKTR-artikkeli huomauttaa,

Lyhyesti: HTTPS / TLS / SSL: n murtamiseen on tänään paljon tapoja, vaikka verkkosivustot tekisivätkin kaiken oikein. Nykyisellä tavalla Webin tietoturvaprotokollat ​​saattavat olla riittävän hyviä suojaamaan hyökkääjiä vastaan ​​rajoitetulla ajalla ja motivaatiolla, mutta ne ovat riittämättömiä maailmalle, jossa geopoliittisia ja yrityskilpailuja pelataan yhä enemmän tietokonejärjestelmien tietoturvaa vastaan..

Peter Eckersley

Valitettavasti tämä ongelma on kaukana teoreettisesta. Samoin valitettavasti ei ole olemassa yleisesti tunnustettuja ratkaisuja, vaikkakin yhdessä EV: n kanssa julkisen avaimen kiinnitystä käytetään useimmissa nykyaikaisissa verkkosivustoissa yritettäessä ratkaista asia.

Julkisen avaimen kiinnityksen avulla selain yhdistää verkkosivuston isäntään odotettavissa olevaan HTTPS-varmenteeseen tai julkiseen avaimeen (tämä yhdistys 'kiinnitetään' isäntään), ja jos se esitetään odottamattomalla varmennuksella tai avaimella, se kieltäytyy hyväksymästä yhteyttä ja antaa sinulle Varoitus.

Electronic Frontier Foundation (EFF) käynnisti myös SSL-observatorion hankkeen, jonka tarkoituksena on tutkia kaikkia Internetin turvaamiseen käytettyjä varmenteita ja kutsua kansalaisia ​​lähettämään sille varmenteita analysoitavaksi. Sikäli kuin tiedän, tämä projekti ei kuitenkaan koskaan päässyt pois ja se on ollut lepotilassa jo vuosia.

Liikenneanalyysi

Tutkijat ovat osoittaneet, että liikenneanalyysiä voidaan käyttää HTTPS-yhteyksissä tunnistamaan yksittäiset verkkosivut, joihin kohde käy HTTPS-suojatulla verkkosivustolla 89 tarkkuudella.

Vaikka tällainen analyysi olisi huolestuttavaa, se merkitsisi erittäin kohdennettua hyökkäystä tiettyä uhria vastaan.

HTTPS-johtopäätös

Vaikka HTTPS ei olekaan täydellinen (mutta mikä on?), Se on hyvä tietoturvatoimenpide verkkosivustoille. Jos sitä ei olisi, mikään miljardeista joka päivä Internetissä tapahtuvista rahoitustapahtumista ja henkilötietojen siirroista ei olisi mahdollista, ja itse Internet (ja mahdollisesti maailmantalous!) Romahtaa yön yli..

Se, että HTTPS-käyttöönotto on tulossa yhä yleisemmäksi verkkosivustoilla, on hieno sekä yksityisyydelle että yksityisyydelle (koska se vaikeuttaa NSA: n ja sen selitysten työtä!).

Tärkeintä muistaa on tarkistaa aina suljettu riippulukkokuvake, kun teet jotain, joka vaatii turvallisuutta tai yksityisyyttä Internetissä. Jos käytät epävarmaa Internet-yhteyttä (kuten julkista WiFi-yhteyspistettä), voit silti surffata verkossa turvallisesti, kun käyt vain HTTPS-salattuja verkkosivustoja.

Jos jostain syystä olet huolestunut verkkosivustosta, voit tarkistaa sen SSL-varmenteen ja tarkistaa, kuuluuko se verkkosivuston omistajalle..

TL on, että HTTPS: n ansiosta voit selata verkkosivustoja turvallisesti ja yksityisesti, mikä on loistava mielenrauhaa varten!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me