Co to jest HTTPS? – Co musisz wiedzieć

Chociaż silne szyfrowanie stało się ostatnio modne, strony internetowe rutynowo stosują silne szyfrowanie end-to-end przez ostatnie 20 lat. W końcu, jeśli strony internetowe nie mogłyby być bardzo bezpieczne, to żadna forma handlu internetowego, taka jak zakupy lub bankowość, nie byłaby możliwa. Stosowanym do tego protokołem szyfrującym jest HTTPS, który oznacza HTTP Secure (lub HTTP przez SSL / TLS). Jest używany przez każdą stronę internetową, która musi zabezpieczyć użytkowników i jest podstawowym kręgosłupem wszystkich zabezpieczeń w Internecie.

HTTPS jest również coraz częściej wykorzystywany przez strony internetowe, dla których bezpieczeństwo nie jest głównym priorytetem. Jest to w dużej mierze zwiększone zaniepokojenie ogólnymi kwestiami prywatności i bezpieczeństwa w związku z ujawnieniami masowej inwigilacji Edwarda Snowdena.

Projekty takie jak inicjatywa EFF „Let's Encrypt”, program Symantec's Encryption Everywhere i Mozilla decydujące się na amortyzację zabezpieczonych wyników wyszukiwania innych niż HTTPS przyspieszyły jednak ogólne przyjęcie protokołu.

Więc co robi HTTPS?

Podczas odwiedzania niezabezpieczonej witryny HTTP wszystkie dane są przesyłane w postaci niezaszyfrowanej, dzięki czemu każdy oglądający może zobaczyć wszystko, co robisz podczas odwiedzania tej witryny (w tym takie szczegóły, jak szczegóły transakcji podczas dokonywania płatności online). Możliwa jest nawet zmiana danych przesyłanych między tobą a serwerem internetowym.

Dzięki HTTPS wymiana kluczy kryptograficznych ma miejsce przy pierwszym połączeniu ze stroną internetową, a wszystkie kolejne działania na stronie są szyfrowane, a zatem ukryte przed wścibskimi oczami. Pamiętaj, że każdy, kto ogląda, może zobaczyć, że odwiedziłeś określoną witrynę, ale nie może zobaczyć, jakie poszczególne strony czytasz, ani żadnych innych danych przesłanych podczas korzystania z tej witryny.

Na przykład strona internetowa ProPrivacy jest zabezpieczona przy użyciu HTTPS. Zakładając, że nie używasz podczas czytania tej strony internetowej, twój dostawca usług internetowych może zobaczyć, że odwiedziłeś proprivacy.com, ale nie widzi, że czytasz ten konkretny artykuł.

Jeśli korzystasz z VPN, twój dostawca VPN może zobaczyć te same informacje, ale dobry będzie korzystał ze współdzielonych adresów IP, więc nie wie, który z jego wielu użytkowników odwiedził proprivacy.com, i odrzuci wszystkie logi dotyczące i tak odwiedź.

Pamiętaj, że HTTPS wykorzystuje szyfrowanie typu end-to-end, więc wszystkie dane przesyłane między komputerem (lub smartfonem itp.) A tą witryną są szyfrowane. Oznacza to, że możesz bezpiecznie uzyskiwać dostęp do stron HTTPS, nawet jeśli są podłączone do niezabezpieczonych publicznych hotspotów WiFi i tym podobnych.

Skąd mam wiedzieć, czy witryna jest bezpieczna?

Łatwo jest stwierdzić, czy odwiedzana witryna jest zabezpieczona przez HTTPS:

  1. W sumie po lewej stronie głównego adresu URL / paska wyszukiwania pojawi się ikona zablokowanej kłódki.
  2. W większości adres internetowy zaczyna się od https: //. (Niezabezpieczone witryny zaczynają się od http: //, ale zarówno https: //, jak i http: // są często ukryte).

Niezabezpieczona witryna Firefox - bez HTTPS

Niezabezpieczona witryna Chrome

Oto przykłady niezabezpieczonych stron internetowych (Firefox i Chrome). Zauważ, że adresy internetowe (adresy URL) nie zaczynają się od https: i po lewej stronie paska wyszukiwania nie jest wyświetlana ikona kłódki

Zabezpieczona witryna Firefox

Bezpieczna strona internetowa Chrome

Zabezpieczona strona internetowa Edge

Oto niektóre bezpieczne witryny HTTPS w Firefox, Chrome i Microsoft Edge. Chociaż wszystkie wyglądają nieco inaczej, wyraźnie widać zamkniętą kłódkę obok paska adresu we wszystkich. Pamiętaj, że w przeciwieństwie do większości przeglądarek Edge nie wyświetla https: // na początku adresu URL. Zauważysz również, że ikona może być zielona lub szara…

Jaka jest różnica między zielonymi i szarymi ikonami kłódki?

Jeśli wyświetlana jest ikona kłódki, oznacza to, że witryna jest bezpieczna. Jeśli ikona jest zielona, ​​oznacza to, że witryna przedstawiła przeglądarce certyfikat Extended Validation Certificate (EV). Mają one na celu sprawdzenie, czy przedstawiony certyfikat SSL jest poprawny dla domeny i czy nazwa domeny należy do firmy, której spodziewałbyś się być właścicielem witryny.

Teoretycznie powinieneś mieć większe zaufanie do stron internetowych wyświetlających zieloną kłódkę. W praktyce jednak system sprawdzania poprawności może być mylący.

nwolb

Na przykład w Wielkiej Brytanii adres bankowości internetowej banku NatWest (www.nwolb.com) jest zabezpieczony przez EV należący do tego, co zwykły obserwator mógłby uważać za głównego konkurenta - Royal Bank of Scotland. O ile nie wiesz, że NatWest jest własnością RBS, może to prowadzić do nieufności do Certyfikatu, niezależnie od tego, czy Twoja przeglądarka nadała mu zieloną ikonę.

Zamieszanie może być również spowodowane tym, że różne przeglądarki czasami używają różnych kryteriów akceptacji Firefoksa i Chrome, na przykład wyświetlają zieloną kłódkę podczas odwiedzania Wikipedia.com, ale Microsoft Edge wyświetla szarą ikonę.

Ogólnie rzecz biorąc, powinien przeważać zdrowy rozsądek. Jeśli odwiedzasz Google, a adres URL to www.google.com, możesz być pewien, że domena należy do Google, niezależnie od ikony kłódki!

Inne ikony kłódki

Możesz również spotkać inne ikony kłódek, które oznaczają takie rzeczy, jak mieszana zawartość (strona jest tylko częściowo zaszyfrowana i nie zapobiega podsłuchowi) oraz złe lub wygasłe certyfikaty SSL. Takie strony internetowe są nie zabezpieczone.

Dodatkowe informacje

We wszystkich przeglądarkach można znaleźć dodatkowe informacje o certyfikacie SSL używanym do sprawdzania poprawności połączenia HTTPS, klikając ikonę kłódki.

HTTPS więcej informacji

Większość przeglądarek pozwala na dalsze kopanie, a nawet przeglądanie samego certyfikatu SSL

Jak faktycznie działa HTTPS?

Nazwa Hypertext Transfer Protocol (HTTP) zasadniczo oznacza standardowy niezabezpieczony (jest to protokół aplikacji, który pozwala stronom internetowym łączyć się ze sobą za pomocą hiperłączy).

Strony internetowe HTTPS są zabezpieczone przy użyciu szyfrowania TLS, przy czym algorytmy uwierzytelniania i określane są przez serwer WWW.

Szczegóły TLS

Większość przeglądarek podaje szczegółowe informacje na temat szyfrowania TLS używanego do połączeń HTTPS. Jest to szyfrowanie używane przez ProPrivacy, wyświetlane w przeglądarce Firefox. Więcej informacji na temat wielu użytych terminów można znaleźć tutaj

Do negocjacji nowego połączenia HTTPS korzysta z infrastruktury klucza publicznego PKI (X.509), asymetrycznego systemu szyfrowania klucza, w którym serwer sieciowy przedstawia klucz publiczny, który jest odszyfrowywany przy użyciu klucza prywatnego przeglądarki. Aby zabezpieczyć się przed atakiem typu man-in-the-middle, X.509 wykorzystuje certyfikaty HTTPS - małe pliki danych, które cyfrowo wiążą publiczny klucz kryptograficzny strony internetowej ze szczegółami organizacji.

Certyfikat HTTPS jest wydawany przez uznany urząd certyfikacji (CA), który poświadcza własność klucza publicznego przez wymieniony podmiot certyfikatu - działając w ujęciu kryptograficznym jako zaufana strona trzecia (TTP).

Jeśli witryna pokazuje przeglądarce certyfikat wydany przez uznany urząd certyfikacji, przeglądarka ustali, że witryna jest oryginalna (ikona zamkniętej kłódki). Jak wspomniano wcześniej, certyfikaty Extended Validation (EV) są próbą zwiększenia zaufania do tych certyfikatów SSL.

HTTPS wszędzie

Wiele witryn może korzystać, ale domyślnie nie. W takim przypadku często można uzyskać do nich bezpieczny dostęp, po prostu poprzedzając ich adres internetowy https: // (zamiast: //). O wiele lepszym rozwiązaniem jest jednak używanie HTTPS Wszędzie.

Jest to bezpłatne i otwarte rozszerzenie przeglądarki opracowane we współpracy z Electronic Frontier Foundation. Po zainstalowaniu HTTPS Everywhere używa „sprytnej technologii do przepisywania żądań do tych witryn na HTTPS”.

Jeśli połączenie HTTPS jest dostępne, rozszerzenie spróbuje połączyć się bezpiecznie ze stroną internetową za pośrednictwem HTTPS, nawet jeśli nie jest to wykonywane domyślnie. Jeśli żadne połączenie HTTPS nie jest w ogóle dostępne, nawiążesz połączenie przez zwykły niezabezpieczony HTTP.

Po zainstalowaniu HTTPS Everywhere będziesz bezpiecznie łączyć się z wieloma innymi stronami internetowymi, dlatego my gorąco polecam instaluję to. HTTP Everywhere jest dostępny dla przeglądarki Firefox (w tym Firefox dla Androida), Chrome i Opera.

Problemy z HTTPS

Fałszywe certyfikaty SSL

Największym problemem związanym z HTTPS jest to, że cały system opiera się na sieci zaufania - ufamy urzędom certyfikacji, które wydają certyfikaty SSL tylko zweryfikowanym właścicielom domen. Jednak…

Istnieje około 1200 urzędów certyfikacji, które mogą podpisywać certyfikaty dla domen, które będą akceptowane przez prawie każdą przeglądarkę. Chociaż uzyskanie statusu CA wymaga przeprowadzenia wielu formalności (nie tylko każdy może założyć siebie jako CA!), Mogą być (i są) wspierane przez rządy (największy problem), zastraszane przez oszustów lub włamywane przez przestępców w celu wydania fałszywych informacji certyfikaty.

To znaczy że:

  1. W przypadku setek urzędów certyfikacji potrzeba tylko jednego „złego jajka” wystawiającego podejrzane certyfikaty, aby zagrozić całemu systemowi
  2. Po wydaniu certyfikatu nie ma możliwości jego unieważnienia, chyba że twórca przeglądarki wyda pełną aktualizację przeglądarki.

Jeśli twoja przeglądarka odwiedza zainfekowaną stronę internetową i jest prezentowana z czymś, co wygląda na ważny certyfikat HTTPS, zainicjuje to, co uważa za bezpieczne połączenie, i wyświetli kłódkę w adresie URL.

Straszne jest to, że tylko jeden z ponad 1200 urzędów certyfikacji musiał zostać naruszony, aby Twoja przeglądarka zaakceptowała połączenie. Jak zauważa ten artykuł EFF,

W skrócie: istnieje wiele sposobów na złamanie HTTPS / TLS / SSL dzisiaj, nawet gdy strony robią wszystko dobrze. Obecnie wdrażane protokoły bezpieczeństwa w sieci mogą być wystarczająco dobre, aby chronić przed atakami o ograniczonym czasie i motywacji, ale nie są odpowiednie do świata, w którym coraz częściej toczy się konkursy geopolityczne i biznesowe poprzez ataki na bezpieczeństwo systemów komputerowych.

Peter Eckersley

Niestety ten problem jest daleki od teoretycznego. Niestety, nie ma ogólnie uznanych rozwiązań, chociaż wraz z pojazdami EV większość współczesnych stron internetowych stosuje przypinanie klucza publicznego w celu rozwiązania problemu.

Przy przypinaniu klucza publicznego przeglądarka kojarzy hosta witryny z oczekiwanym certyfikatem HTTPS lub kluczem publicznym (to powiązanie jest „przypięte” do hosta), a jeśli zostanie przedstawiony nieoczekiwany certyfikat lub klucz, odmówi przyjęcia połączenia i wystawi Ci ostrzeżenie.

Electronic Frontier Foundation (EFF) również rozpoczął projekt Obserwatorium SSL w celu zbadania wszystkich certyfikatów używanych do zabezpieczenia Internetu, zapraszając społeczeństwo do przesłania go do analizy. O ile mi wiadomo, ten projekt nigdy tak naprawdę się nie udał i od lat jest uśpiony.

Analiza ruchu

Badacze wykazali, że analizy połączeń można używać w połączeniach HTTPS do identyfikowania poszczególnych stron odwiedzanych przez cel na stronach zabezpieczonych HTTPS z 89 dokładnością.

Jakkolwiek niepokojące, każda taka analiza stanowiłaby wysoce ukierunkowany atak na określoną ofiarę.

Wniosek HTTPS

Chociaż nie jest doskonały (ale co to jest?), HTTPS jest dobrym środkiem bezpieczeństwa dla stron internetowych. Gdyby tak nie było, żadna z miliardów transakcji finansowych i transferów danych osobowych, które odbywają się codziennie w Internecie, nie byłaby możliwa, a sam internet (i być może światowa gospodarka!) Upadłby z dnia na dzień.

To, że implementacja HTTPS staje się coraz bardziej standardem na stronach internetowych, jest świetna zarówno dla prywatności, jak i dla prywatności (ponieważ znacznie utrudnia pracę NSA i jej podobnych!).

Najważniejszą rzeczą do zapamiętania jest zawsze sprawdzanie, czy ikona kłódki jest zamknięta podczas wykonywania czynności wymagających bezpieczeństwa lub prywatności w Internecie. Jeśli korzystasz z niezabezpieczonego połączenia internetowego (takiego jak publiczny hotspot Wi-Fi), możesz nadal bezpiecznie surfować po sieci, o ile odwiedzasz tylko zaszyfrowane strony internetowe HTTPS.

Jeśli z jakiegoś powodu martwisz się witryną, możesz sprawdzić jej certyfikat SSL, aby sprawdzić, czy należy ona do właściciela, którego można oczekiwać od tej witryny.

TL jest taki, że dzięki HTTPS możesz bezpiecznie i prywatnie surfować po stronach, co jest świetne dla twojego spokoju ducha!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me