Τι είναι το HTTPS; – Τι πρέπει να ξέρετε

Αν και η ισχυρή κρυπτογράφηση έχει γίνει πρόσφατα μοντέρνα, οι ιστότοποι έχουν συστηματικά χρησιμοποιήσει ισχυρή κρυπτογράφηση από άκρο σε άκρο για τα τελευταία 20 χρόνια. Εξάλλου, εάν οι ιστότοποι δεν μπορούν να γίνουν πολύ ασφαλείς, τότε δεν θα είναι δυνατή καμία μορφή ηλεκτρονικού εμπορίου, όπως αγορές ή τραπεζικές συναλλαγές. Το πρωτόκολλο κρυπτογράφησης που χρησιμοποιείται για αυτό είναι το HTTPS, το οποίο σημαίνει HTTP Secure (ή HTTP μέσω SSL / TLS). Χρησιμοποιείται από οποιονδήποτε ιστότοπο που χρειάζεται να εξασφαλίσει τους χρήστες και αποτελεί τη θεμελιώδη ραχοκοκαλιά της ασφάλειας στο Διαδίκτυο.

Το HTTPS χρησιμοποιείται επίσης όλο και περισσότερο από ιστότοπους για τους οποίους η ασφάλεια δεν αποτελεί μείζονα προτεραιότητα. Αυτό αποτελεί σε μεγάλο βαθμό αυξημένη ανησυχία για τα γενικά ζητήματα ιδιωτικού απορρήτου και ασφάλειας στο Διαδίκτυο μετά από τις αποκαλύψεις μαζικής επιτήρησης της κυβέρνησης του Edward Snowden.

Έργα όπως η πρωτοβουλία Let's Encrypt του EFF, το πρόγραμμα Encryption Everywhere της Symantec και η επιλογή του Mozilla για την απόσβεση των αποτελεσμάτων αναζήτησης που δεν έχουν εξασφαλιστεί με HTTPS έχουν επιταχύνει τη γενική υιοθέτηση του πρωτοκόλλου.

Τι κάνει το HTTPS?

Όταν επισκέπτεστε μια μη ασφαλή τοποθεσία HTTP, όλα τα δεδομένα μεταφέρονται χωρίς κρυπτογράφηση, οπότε ο καθένας μπορεί να δει όλα όσα κάνετε κατά την επίσκεψή σας στον ιστότοπο (συμπεριλαμβανομένων στοιχείων όπως τα στοιχεία της συναλλαγής σας κατά την πραγματοποίηση πληρωμών στο διαδίκτυο). Είναι ακόμη δυνατό να αλλάξετε τα δεδομένα που μεταφέρονται μεταξύ εσάς και του διακομιστή ιστού.

Με το HTTPS, πραγματοποιείται ανταλλαγή κρυπτογραφικού κλειδιού όταν συνδέεστε για πρώτη φορά με τον ιστότοπο και όλες οι ενέργειες που ακολουθούν στην ιστοσελίδα είναι κρυπτογραφημένες και συνεπώς αποκρύπτονται από τα αδιάκριτα μάτια. Σημειώστε ότι οποιοσδήποτε παρακολουθεί μπορεί να δει ότι έχετε επισκεφτεί έναν συγκεκριμένο ιστότοπο, αλλά δεν μπορείτε να δείτε ποιες μεμονωμένες σελίδες διαβάζετε ή άλλα δεδομένα που μεταφέρονται ενώ βρίσκεστε σε αυτόν τον ιστότοπο.

Για παράδειγμα, ο ιστότοπος ProPrivacy είναι ασφαλής χρησιμοποιώντας το HTTPS. Υποθέτοντας ότι δεν χρησιμοποιείτε κάποια στιγμή την ανάγνωση αυτής της ιστοσελίδας, ο ISP σας μπορεί να διαπιστώσει ότι έχετε επισκεφτεί το propertyvacy.com, αλλά δεν μπορείτε να δείτε ότι διαβάζετε αυτό το συγκεκριμένο άρθρο.

Εάν χρησιμοποιείτε ένα VPN, τότε ο πάροχος VPN μπορεί να δει τις ίδιες πληροφορίες, αλλά καλό θα χρησιμοποιήσει κοινόχρηστα IP ώστε να μην γνωρίζει ποιοι από τους πολλούς του χρήστες επισκέπτονται το proprivacy.com και θα απορρίψει όλα τα αρχεία καταγραφής που σχετίζονται με επισκεφθείτε ούτως ή άλλως.

Λάβετε υπόψη ότι το HTTPS χρησιμοποιεί κρυπτογράφηση από άκρο σε άκρο, οπότε όλα τα δεδομένα που μεταφέρονται μεταξύ του υπολογιστή σας (ή του smartphone κ.λπ.) και του ιστότοπου είναι κρυπτογραφημένα. Αυτό σημαίνει ότι μπορείτε να έχετε πρόσβαση σε ιστότοπους HTTPS με ασφάλεια, ακόμη και όταν είστε συνδεδεμένοι σε μη ασφαλείς δημόσιους σημείων πρόσβασης WiFi και παρόμοια.

Πώς μπορώ να ξέρω αν ένας ιστότοπος είναι ασφαλής?

Είναι εύκολο να διαπιστώσετε αν ένας ιστότοπος που επισκέπτεστε είναι ασφαλής από το HTTPS:

  1. Συνολικά, θα δείτε ένα κλειδωμένο εικονίδιο λουκέτου στην αμέσως αριστερή πλευρά της κύριας διεύθυνσης URL / Γραμμή αναζήτησης.
  2. Στις περισσότερες περιπτώσεις, η διεύθυνση ιστού θα ξεκινήσει με https: //. (Οι ιστότοποι που δεν είναι ασφαλισμένοι ξεκινούν με http: //, αλλά και οι δύο https: // και http: // είναι συχνά κρυμμένοι.)

Unsecured ιστοσελίδα Firefox - δεν HTTPS

Unsecured website Chrome

Ακολουθούν παραδείγματα ιστότοπων που δεν είναι ασφαλείς (Firefox και Chrome). Παρατηρήστε ότι οι διευθύνσεις ιστού (URL) δεν ξεκινούν από το https: και ότι κανένα εικονίδιο λουκέτου δεν εμφανίζεται στα αριστερά της γραμμής αναζήτησης

Ασφαλής ιστοσελίδα Firefox

Ασφαλής ιστοσελίδα Chrome

Ασφαλής ιστοσελίδα Edge

Εδώ είναι μερικοί ασφαλείς ιστότοποι HTTPS σε Firefox, Chrome και Microsoft Edge. Παρόλο που όλα φαίνονται λίγο διαφορετικά, μπορούμε να δούμε ξεκάθαρα ένα κλειστό εικονίδιο λουκέτου δίπλα στη γραμμή διευθύνσεων σε όλα αυτά. Λάβετε υπόψη ότι σε αντίθεση με τα περισσότερα προγράμματα περιήγησης, το Edge δεν εμφανίζει το https: // στην αρχή της διεύθυνσης URL. Θα παρατηρήσετε επίσης ότι το εικονίδιο μπορεί να είναι πράσινο ή γκρι ...

Ποια είναι η διαφορά ανάμεσα στα πράσινα και τα γκρίζα εικονίδια λουκέτου?

Εάν εμφανιστεί ένα εικονίδιο λουκέτου, τότε ο ιστότοπος είναι ασφαλής. Εάν το εικονίδιο είναι πράσινο, ωστόσο, υποδηλώνει ότι ο ιστότοπος παρουσίασε στο πρόγραμμα περιήγησής σας ένα πιστοποιητικό εκτεταμένης επικύρωσης (EV). Αυτά αποσκοπούν στην εξακρίβωση ότι το πιστοποιητικό SSL που παρουσιάζεται είναι σωστό για τον τομέα και ότι το όνομα τομέα ανήκει στην εταιρεία που θα περιμένατε να έχετε στην κατοχή σας τον ιστότοπο.

Στη θεωρία, λοιπόν, θα πρέπει να έχετε μεγαλύτερη εμπιστοσύνη στους ιστότοπους που εμφανίζουν πράσινο λουκέτο. Στην πράξη, ωστόσο, το σύστημα επικύρωσης μπορεί να προκαλέσει σύγχυση.

nwolb

Για παράδειγμα, στο Ηνωμένο Βασίλειο, η διεύθυνση ηλεκτρονικής τραπεζικής της NatWest Bank (www.nwolb.com) εξασφαλίζεται από μια EV που ανήκει σε αυτό που ο τυχαίος παρατηρητής μπορεί να θεωρήσει ως ανταγωνιστή υψηλού επιπέδου - η Royal Bank of Scotland. Εάν δεν γνωρίζετε ότι το NatWest ανήκει στην RBS, αυτό θα μπορούσε να οδηγήσει στη δυσπιστία του Πιστοποιητικού, ανεξάρτητα από το αν το πρόγραμμα περιήγησής του έχει δώσει ένα πράσινο εικονίδιο.

Η σύγχυση μπορεί επίσης να οφείλεται στο γεγονός ότι διαφορετικά προγράμματα περιήγησης χρησιμοποιούν μερικές φορές διαφορετικά κριτήρια αποδοχής του Firefox και του Chrome, για παράδειγμα, εμφανίζουν ένα πράσινο λουκέτο όταν επισκέπτονται το Wikipedia.com, αλλά το Microsoft Edge εμφανίζει ένα γκρι εικονίδιο.

Σε γενικές γραμμές, θα έπρεπε να επικρατεί η κοινή λογική. Εάν επισκέπτεστε την Google και η διεύθυνση URL είναι www.google.com, τότε μπορείτε να είστε σίγουροι ότι ο τομέας ανήκει στην Google, ανεξάρτητα από το εικονίδιο λουκέτου!

Άλλα εικονίδια λουκέτου

Μπορεί επίσης να συναντήσετε άλλα εικονίδια λουκέτου που υποδηλώνουν πράγματα όπως μικτό περιεχόμενο (ο ιστοτόπος είναι μόνο μερικώς κρυπτογραφημένος και δεν εμποδίζει την παρακολούθηση) και κακά ή ληγμένα πιστοποιητικά SSL. Τέτοιες ιστοσελίδες είναι δεν είναι ασφαλές.

Επιπλέον πληροφορίες

Σε όλα τα προγράμματα περιήγησης, μπορείτε να βρείτε επιπλέον πληροφορίες σχετικά με το πιστοποιητικό SSL που χρησιμοποιείται για την επικύρωση της σύνδεσης HTTPS, κάνοντας κλικ στο εικονίδιο λουκέτου.

HTTPS περισσότερες πληροφορίες

Τα περισσότερα προγράμματα περιήγησης επιτρέπουν την περαιτέρω εκσκαφή και ακόμη και την προβολή του ίδιου του πιστοποιητικού SSL

Πώς λειτουργεί το HTTPS?

Το όνομα Hypertext Transfer Protocol (HTTP) υποδηλώνει βασικά μη εγγυημένο πρότυπο (είναι το πρωτόκολλο εφαρμογής που επιτρέπει στις ιστοσελίδες να συνδέονται μεταξύ τους μέσω υπερσυνδέσμων).

Οι ιστοσελίδες του HTTPS είναι ασφαλείς χρησιμοποιώντας κρυπτογράφηση TLS, με τους αλγορίθμους και τους ελέγχους ταυτότητας που καθορίζει ο διακομιστής ιστού.

Λεπτομέρειες TLS

Τα περισσότερα προγράμματα περιήγησης θα σας δώσουν λεπτομέρειες σχετικά με την κρυπτογράφηση TLS που χρησιμοποιείται για συνδέσεις HTTPS. Αυτή είναι η κρυπτογράφηση που χρησιμοποιείται από το ProPrivacy, όπως εμφανίζεται στον Firefox. Περισσότερες πληροφορίες σχετικά με πολλούς από τους όρους που χρησιμοποιούνται μπορούν να βρεθούν εδώ

Για να διαπραγματευτεί μια νέα σύνδεση, το HTTPS χρησιμοποιεί το ασύρματο κλειδί κρυπτογράφησης κλειδιών X.509, ένα ασύρματο σύστημα κρυπτογράφησης κλειδιών όπου ένας διακομιστής ιστού παρουσιάζει ένα δημόσιο κλειδί, το οποίο αποκρυπτογραφείται χρησιμοποιώντας το ιδιωτικό κλειδί του προγράμματος περιήγησης. Προκειμένου να διασφαλιστεί ότι δεν θα υπάρξει επίθεση στο άτομο, το X.509 θα χρησιμοποιεί πιστοποιητικά HTTPS - μικρά αρχεία δεδομένων που συνδέουν ψηφιακά το δημόσιο κρυπτογραφικό κλειδί ενός ιστοτόπου με τα στοιχεία ενός οργανισμού.

Ένα πιστοποιητικό HTTPS εκδίδεται από μια αναγνωρισμένη Αρχή Πιστοποίησης (CA) η οποία πιστοποιεί την κυριότητα ενός δημόσιου κλειδιού από το όνομα του αντικειμένου του πιστοποιητικού - ενεργώντας με κρυπτογραφικούς όρους ως αξιόπιστο τρίτο μέρος (TTP).

Εάν ένας ιστότοπος εμφανίζει το πρόγραμμα περιήγησής σας σε πιστοποιητικό από μια αναγνωρισμένη ΑΠ, το πρόγραμμα περιήγησής σας θα καθορίσει τον ιστότοπο ως γνήσιο (και δείχνει ένα κλειστό εικονίδιο λουκέτου). Και όπως σημειώθηκε νωρίτερα, τα Πιστοποιητικά Extended Validation (EVs) αποτελούν μια προσπάθεια βελτίωσης της εμπιστοσύνης στα πιστοποιητικά SSL.

HTTPS Παντού

Πολλοί ιστότοποι μπορούν να χρησιμοποιήσουν αλλά όχι από προεπιλογή. Σε αυτά συχνά είναι δυνατή η ασφαλή πρόσβαση σε αυτά με απλή προτίμησή τους με https: // (αντί: //). Μια πολύ καλύτερη λύση, ωστόσο, είναι να χρησιμοποιήσετε το HTTPS Παντού.

Πρόκειται για μια επέκταση προγράμματος περιήγησης ελεύθερου και ανοιχτού κώδικα που αναπτύχθηκε από μια συνεργασία μεταξύ του ιδρύματος Electronic Frontier Foundation. Μόλις εγκατασταθεί, το HTTPS Everywhere χρησιμοποιεί "έξυπνη τεχνολογία για να ξαναγράψει αιτήματα σε αυτούς τους ιστότοπους σε HTTPS".

Εάν είναι διαθέσιμη μια σύνδεση HTTPS, η επέκταση θα προσπαθήσει να συνδεθεί με ασφάλεια στον ιστότοπο μέσω του HTTPS, ακόμα κι αν αυτό δεν εκτελείται από προεπιλογή. Αν δεν υπάρχει καθόλου σύνδεση HTTPS, θα συνδεθείτε μέσω κανονικής μη ασφαλούς HTTP.

Με το HTTPS Everywhere εγκατεστημένο, θα συνδεθείτε με πολλούς άλλους ιστότοπους με ασφάλεια, και συνεπώς συνιστάται ανεπιφύλακτα την εγκατάσταση. Το HTTP Everywhere είναι διαθέσιμο για τον Firefox (συμπεριλαμβανομένου του Firefox για Android), το Chrome και την Opera.

Προβλήματα με το HTTPS

Fake SSL Πιστοποιητικά

Το μεγαλύτερο πρόβλημα με το HTTPS είναι ότι ολόκληρο το σύστημα βασίζεται σε έναν ιστό εμπιστοσύνης - εμπιστευόμαστε τους διαχειριστές να εκδίδουν μόνο πιστοποιητικά SSL σε επαληθευμένους κατόχους τομέα. Ωστόσο…

Υπάρχουν περίπου 1200 CA που μπορούν να υπογράψουν πιστοποιητικά για τομείς που θα γίνουν δεκτά από σχεδόν οποιοδήποτε πρόγραμμα περιήγησης. Αν και η είσοδος σε μια ΑΠ συνεπάγεται πολλές διατυπώσεις (όχι μόνο όλοι μπορούν να δημιουργηθούν ως CA!), Μπορούν να στηρίζονται (και στηρίζονται) από τις κυβερνήσεις (το μεγαλύτερο πρόβλημα), εκφοβισμένοι από απατεώνες ή από πειρατές να εκδίδουν ψευδή πιστοποιητικά.

Αυτό σημαίνει ότι:

  1. Με τις εκατοντάδες Αρχές Πιστοποίησης, παίρνει μόνο ένα «κακό αυγό» που εκδίδει αόριστα πιστοποιητικά για να θέσει σε κίνδυνο το όλο σύστημα
  2. Μόλις εκδοθεί ένα πιστοποιητικό, δεν υπάρχει τρόπος ανάκλησης αυτού του πιστοποιητικού, εκτός από τον κατασκευαστή του προγράμματος περιήγησης να εκδώσει πλήρη ενημέρωση του προγράμματος περιήγησης.

Εάν το πρόγραμμα περιήγησής σας επισκέπτεται έναν συμβιβασμένο ιστότοπο και παρουσιάζεται με αυτό που μοιάζει με έγκυρο πιστοποιητικό HTTPS, θα ξεκινήσει αυτό που πιστεύει ότι είναι ασφαλής σύνδεση και θα εμφανίσει ένα λουκέτο στη διεύθυνση URL.

Το τρομακτικό είναι ότι μόνο μία από τις 1200+ ΑΠ πρέπει να έχει παραβιαστεί για να δεχτεί ο σύνδεσμος ο browser σας. Όπως παρατηρεί το άρθρο αυτό του EFF,

Με λίγα λόγια: υπάρχουν πολλοί τρόποι για να σπάσει το HTTPS / TLS / SSL σήμερα, ακόμα και όταν οι ιστότοποι κάνουν τα πάντα σωστά. Όπως εφαρμόζονται σήμερα, τα πρωτόκολλα ασφαλείας του Ιστού μπορεί να είναι αρκετά καλά ώστε να προστατεύουν τους επιτιθέμενους με περιορισμένο χρόνο και κίνητρο, αλλά είναι ανεπαρκείς για έναν κόσμο όπου οι γεωπολιτικοί και επιχειρηματικοί διαγωνισμοί διαδραματίζονται ολοένα και περισσότερο μέσα από επιθέσεις κατά της ασφάλειας των υπολογιστικών συστημάτων.

Peter Eckersley

Δυστυχώς, το πρόβλημα αυτό απέχει πολύ από τη θεωρητική. Επίσης, δυστυχώς, δεν υπάρχουν γενικά αναγνωρισμένες λύσεις, αν και μαζί με τις ΗΨ, η προσάρτηση του δημόσιου κλειδιού χρησιμοποιείται από τους περισσότερους σύγχρονους ιστότοπους σε μια προσπάθεια αντιμετώπισης του προβλήματος.

Με το κλειδί του δημόσιου κλειδιού ο περιηγητής συνδέει έναν κεντρικό υπολογιστή με το αναμενόμενο πιστοποιητικό HTTPS ή δημόσιο κλειδί (ο σύνδεσμος αυτός είναι συνδεδεμένος με τον κεντρικό υπολογιστή) και εάν παρουσιαστεί με ένα απροσδόκητο πιστοποιητικό ή κλειδί, θα αρνηθεί να αποδεχτεί τη σύνδεση και να σας εκδώσει προειδοποίηση.

Το Ίδρυμα Electronic Frontier Foundation (EFF) ξεκίνησε επίσης ένα έργο Παρατηρητηρίου SSL με σκοπό τη διερεύνηση όλων των πιστοποιητικών που χρησιμοποιούνται για τη διασφάλιση του Διαδικτύου, καλώντας το κοινό να του αποστείλει πιστοποιητικά για ανάλυση. Από όσο γνωρίζω, όμως, αυτό το έργο δεν ξεκίνησε ποτέ και έμεινε αδρανές εδώ και χρόνια.

Ανάλυση κυκλοφορίας

Οι ερευνητές έχουν δείξει ότι η ανάλυση κυκλοφορίας μπορεί να χρησιμοποιηθεί στις συνδέσεις HTTPS για να εντοπίσει μεμονωμένες ιστοσελίδες που επισκέφτηκαν ένας στόχος σε ιστότοπους με ασφάλεια HTTPS με ακρίβεια 89.

Αν και ανησυχητική, οποιαδήποτε τέτοια ανάλυση θα αποτελούσε μια πολύ στοχοθετημένη επίθεση εναντίον ενός συγκεκριμένου θύματος.

Συμπέρασμα HTTPS

Αν και δεν είναι τέλεια (αλλά τι είναι;), το HTTPS είναι ένα καλό μέτρο ασφάλειας για ιστότοπους. Εάν δεν υπήρχε, τότε δεν θα ήταν δυνατή καμία από τις δισεκατομμύρια οικονομικές συναλλαγές και μεταφορές δεδομένων προσωπικού χαρακτήρα που θα γίνονταν καθημερινά στο διαδίκτυο και το ίδιο το διαδίκτυο (και ενδεχομένως η παγκόσμια οικονομία!) Θα κατέρρεε τη νύχτα.

Ότι η εφαρμογή HTTPS καθίσταται ολοένα και πιο πρότυπη στους ιστότοπους είναι μεγάλη και για τους δύο και για την ιδιωτική ζωή (καθώς καθιστά πολύ πιο δύσκολη τη δουλειά της NSA και της ομάδας της).

Το κύριο πράγμα που θυμάται είναι να ελέγχει πάντα για ένα κλειστό λουκέτο iconwhen κάνει τίποτα που απαιτεί ασφάλεια ή προστασία της ιδιωτικής ζωής στο διαδίκτυο. Αν χρησιμοποιείτε μια ασφαλή σύνδεση στο διαδίκτυο (όπως ένα δημόσιο WiFi hotspot) μπορείτε ακόμα να πλοηγηθείτε στον ιστό με ασφάλεια, εφόσον επισκέπτεστε μόνο κρυπτογραφημένους ιστότοπους HTTPS.

Εάν για οποιονδήποτε λόγο ανησυχείτε για έναν ιστότοπο, μπορείτε να ελέγξετε το πιστοποιητικό SSL για να δείτε αν ανήκει στον κάτοχο που θα περιμένατε από αυτόν τον ιστότοπο.

Το TL είναι ότι χάρη στο HTTPS μπορείτε να περιηγηθείτε ιστότοποι με ασφάλεια και ιδιωτικότητα, κάτι που είναι εξαιρετικό για την ειρήνη σας!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me