Co je HTTPS? – Co potřebuješ vědět

Ačkoli silné šifrování se v poslední době stalo trendem, webové stránky běžně používají za posledních 20 let silné šifrování typu end-to-end. Koneckonců, pokud by webové stránky nemohly být vytvořeny velmi bezpečně, pak by nebyla možná žádná forma online obchodu, jako je nakupování nebo bankovnictví. Za tímto účelem se používá šifrovací protokol HTTPS, což znamená HTTP Secure (nebo HTTP over SSL / TLS). Používá jej každý web, který potřebuje zabezpečit uživatele a je základní páteří veškeré bezpečnosti na internetu.

HTTPS je stále častěji používán webovými stránkami, u nichž zabezpečení není hlavní prioritou. To je z velké části zvýšeno znepokojení nad obecnými otázkami ochrany soukromí a bezpečnosti internetu v důsledku masových odhalení vládního dohledu Edwarda Snowdena..

Projekty, jako je iniciativa EFF En´s Encrypt, program Symantec Encryption Everywhere a Mozilla, které se rozhodly znehodnocovat výsledky vyhledávání bez HTTPS, však urychlily všeobecné přijetí protokolu.

Co tedy HTTPS dělá?

Při návštěvě nezabezpečeného webu HTTP jsou všechna data přenášena nešifrovaná, takže každý, kdo sleduje, může během návštěvy tohoto webu vidět vše, co děláte (včetně věcí, jako jsou vaše transakční podrobnosti při provádění plateb online). Je dokonce možné změnit data přenášená mezi vámi a webovým serverem.

U protokolu HTTPS dochází k prvnímu šifrování klíčů při prvním připojení k webu a všechny následující akce na webu jsou šifrovány, a proto jsou skryté před zvědavýma očima. Všimněte si, že každý, kdo sleduje, může vidět, že jste navštívili určitý web, ale nevidí, jaké jednotlivé stránky čtete, ani jakákoli jiná data přenesená na tomto webu.

Například web ProPrivacy je zabezpečen pomocí HTTPS. Za předpokladu, že při čtení této webové stránky nějakou dobu nepoužíváte, váš poskytovatel internetových služeb může vidět, že jste navštívili web proprivacy.com, ale nevidíte, že čtete tento konkrétní článek..

Pokud používáte VPN, váš poskytovatel VPN může vidět stejné informace, ale dobrý bude používat sdílené IP adresy, takže neví, který z jeho mnoha uživatelů navštívil proprivacy.com, a zlikviduje všechny protokoly týkající se přesto navštivte.

HTTPS používá šifrování typu end-to-end, takže všechna data přenášená mezi počítačem (nebo smartphonem atd.) A tímto webem jsou šifrována. To znamená, že k webům HTTPS můžete bezpečně přistupovat, i když jsou připojeni k nezabezpečeným veřejným WiFi hotspotům apod.

Jak zjistím, zda je web bezpečný?

Je snadné zjistit, zda je web, který navštěvujete, zabezpečen pomocí protokolu HTTPS:

  1. Ve všech se zobrazí ikona zamčeného visacího zámku na levé straně hlavního panelu URL / Vyhledávací lišty.
  2. Ve většině případů bude webová adresa začínat https: //. (Nezabezpečené weby začínají řetězcem http: //, ale https: // i http: // jsou často skryté.)

Nezajištěný web Firefox - žádné HTTPS

Nezajištěný web Chrome

Zde jsou příklady nezabezpečených webů (Firefox a Chrome). Všimněte si, že webové adresy (URL) nezačíná řetězcem https: a že na levé straně vyhledávací lišty není zobrazena žádná ikona zámku.

Zabezpečený web Firefox

Zabezpečený web Chrome

Zabezpečená stránka Edge

Zde jsou některé zabezpečené weby HTTPS ve Firefoxu, Chrome a Microsoft Edge. I když všichni vypadají trochu jinak, můžeme jasně vidět ikonu zavřeného zámku vedle adresního řádku ve všech z nich. Všimněte si, že na rozdíl od většiny prohlížečů Edge na začátku adresy URL nezobrazuje https: //. Všimněte si také, že ikona může být zelená nebo šedá…

Jaký je rozdíl mezi zelenými a šedými ikonami visacích zámků?

Pokud je zobrazena ikona zámku, je web zabezpečený. Pokud je však ikona zelená, znamená to, že webová stránka předala vašemu prohlížeči certifikát s prodlouženým ověřením (EV). Jejich účelem je ověřit, zda je předložený certifikát SSL správný pro danou doménu a zda název domény patří společnosti, od které byste očekávali, že web vlastníte..

Teoreticky byste tedy měli mít větší důvěru v weby, které zobrazují zelený zámek. V praxi však může být systém validace matoucí.

nwolb

Například ve Velké Británii je adresa online bankovnictví NatWest banky (www.nwolb.com) zajištěna EV patřící tomu, co by příležitostný pozorovatel mohl považovat za konkurenta na vysokých ulicích - Royal Bank of Scotland. Pokud nevíte, že společnost NatWest vlastní společnost RBS, mohlo by to vést k nedůvěře k certifikátu, bez ohledu na to, zda jej váš prohlížeč dal zelenou ikonu.

Zmatek může být způsoben také tím, že různé prohlížeče někdy používají různá kritéria pro přijímání Firefoxu a Chrome, například při návštěvě Wikipedia.com zobrazují zelený zámek, ale Microsoft Edge zobrazuje šedou ikonu.

Obecně by měl převládat zdravý rozum. Pokud navštěvujete Google a adresa URL je www.google.com, můžete si být jisti, že doména patří Googlu, bez ohledu na ikonu zámku!

Další ikony visacího zámku

Můžete se také setkat s jinými ikonami visacích zámků, které označují věci, jako je smíšený obsah (web je pouze částečně šifrován a nebrání odposlouchávání) a špatné nebo vypršené certifikáty SSL. Takové webové stránky jsou není bezpečné.

Dodatečné informace

Ve všech prohlížečích najdete další informace o certifikátu SSL používaném k ověření připojení HTTPS kliknutím na ikonu zámku.

HTTPS více informací

Většina prohlížečů umožňuje kopat dále a dokonce zobrazit samotný certifikát SSL

Jak HTTPS skutečně funguje?

Název Hypertext Transfer Protocol (HTTP) v podstatě označuje standardní nezabezpečený (je to aplikační protokol, který umožňuje webovým stránkám vzájemně se propojovat pomocí hypertextových odkazů).

Webové stránky HTTPS jsou zabezpečeny pomocí šifrování TLS a algoritmy a autentizace určené webovým serverem.

Podrobnosti TLS

Většina prohlížečů vám poskytne podrobnosti o šifrování TLS používaném pro připojení HTTPS. Toto je šifrování používané programem ProPrivacy, jak je zobrazeno ve Firefoxu. Více informací o mnoha použitých termínech najdete zde

Pro vyjednání nového připojení používá HTTPS infrastrukturu veřejného klíče X.509 (PKI), asymetrický systém šifrování klíčů, kde webový server představuje veřejný klíč, který je dešifrován soukromým klíčem prohlížeče. Aby bylo zajištěno proti útoku člověk uprostřed, používá X.509 certifikáty HTTPS - malé datové soubory, které digitálně váže veřejný kryptografický klíč webu k podrobnostem organizace..

Certifikát HTTPS vydává uznávaná certifikační autorita (CA), která potvrzuje vlastnictví veřejného klíče jmenovaným subjektem certifikátu - jedná kryptograficky jako důvěryhodná třetí strana (TTP).

Pokud webový prohlížeč ukáže vašemu prohlížeči certifikát od uznané CA, váš prohlížeč určí tento web jako pravý (a ukazuje ikonu zavřeného zámku). Jak již bylo uvedeno výše, certifikáty Extended Validation Certificates (EV) jsou pokusem o zvýšení důvěry v tyto certifikáty SSL.

HTTPS všude

Mnoho webů může používat, ale ve výchozím nastavení není. V takových případech je často možné k nim bezpečně přistupovat jednoduše předponou jejich webové adresy pomocí https: // (spíše než: //). Mnohem lepším řešením je však použití HTTPS všude.

Jedná se o bezplatné a open source rozšíření prohlížeče vyvinuté ve spolupráci mezi Electronic Frontier Foundation. Po instalaci HTTPS Everywhere používá „chytrou technologii k přepsání požadavků na tyto weby do HTTPS“.

Pokud je k dispozici připojení HTTPS, rozšíření se pokusí připojit vás bezpečně k webu prostřednictvím protokolu HTTPS, i když to ve výchozím nastavení nebude provedeno. Pokud není k dispozici vůbec žádné připojení HTTPS, připojíte se pomocí běžného nezabezpečeného protokolu HTTP.

S nainstalovaným protokolem HTTPS všude se bezpečně připojíte k mnoha dalším webům, a my proto důrazně doporučujeme instalace. HTTP Everywhere je k dispozici pro Firefox (včetně Firefox pro Android), Chrome a Opera.

Problémy s HTTPS

Falešné certifikáty SSL

Největší problém s HTTPS spočívá v tom, že celý systém se spoléhá na web důvěry - věříme CA, že vydávají SSL certifikáty pouze ověřeným vlastníkům domény. Nicméně…

Existuje asi 1200 CA, které mohou podepisovat certifikáty domén, které budou akceptovány téměř jakýmkoli prohlížečem. Přestože se stát CA znamená podstoupit mnoho formalit (nejen se může kdokoli postavit jako CA!), Mohou být (a jsou) nakloněny vládami (největší problém), zastrašováni podvodníky nebo hacknuti zločinci, aby vydávali nepravdivé certifikáty.

Tohle znamená tamto:

  1. Se stovkami certifikačních autorit stačí pouze jedno „špatné vejce“, které vydává riskantní certifikáty, aby ohrozilo celý systém
  2. Jakmile je certifikát vydán, neexistuje žádný způsob, jak tento certifikát odvolat, kromě toho, že tvůrce prohlížeče vydává úplnou aktualizaci prohlížeče.

Pokud váš prohlížeč navštíví ohrožený web a zobrazí se mu, co vypadá jako platný certifikát HTTPS, iniciuje to, co považuje za bezpečné připojení, a v adrese URL zobrazí visací zámek..

Strašidelné je, že pouze jeden z 1200 + CA musí být ohrožen, aby váš prohlížeč připojení akceptoval. Jak uvádí tento článek EFF,

Stručně řečeno: existuje mnoho způsobů, jak rozbít HTTPS / TLS / SSL dnes, i když weby dělají vše správně. Jak je v současné době implementováno, bezpečnostní protokoly webu mohou být dost dobré na ochranu před útočníky s omezenou dobou a motivací, ale jsou nedostatečné pro svět, ve kterém se geopolitické a obchodní soutěže stále častěji odehrávají prostřednictvím útoků na bezpečnost počítačových systémů..

Peter Eckersley

Tento problém bohužel není zdaleka teoretický. Stejně bohužel neexistují žádná obecně uznávaná řešení, i když spolu s EV je většina moderních webů využívána při zadávání veřejných klíčů, aby se problém vyřešil..

Při připojování veřejného klíče připojí prohlížeč hostitele webu k očekávanému certifikátu HTTPS nebo veřejnému klíči (toto přidružení je „připojeno k hostiteli“), a pokud bude předloženo s neočekávaným certifikátem nebo klíčem, odmítne přijmout připojení a vydá vám Varování.

Nadace Electronic Frontier Foundation (EFF) také zahájila projekt observatoře SSL s cílem prozkoumat všechny certifikáty používané k zabezpečení internetu a vyzvat veřejnost, aby jej poslala k analýze. Pokud však vím, tento projekt se nikdy opravdu nevystartoval a spal roky.

Analýza provozu

Vědci ukázali, že analýzu připojení lze použít pro připojení HTTPS k identifikaci jednotlivých webových stránek navštívených cílem na webech zabezpečených HTTPS s přesností 89.

Ačkoli je to znepokojivé, jakákoli taková analýza by představovala vysoce cílený útok proti konkrétní oběti.

Závěr HTTPS

Ačkoli to není dokonalé (ale co je?), HTTPS je dobrým bezpečnostním opatřením pro webové stránky. Pokud by tomu tak nebylo, nebylo by možné žádné z miliard finančních transakcí a přenosů osobních údajů, ke kterým dochází každý den na internetu, a samotný internet (a možná i světová ekonomika!) By se přes noc nezhroutil..

To, že implementace HTTPS se stále více stává standardem na webových stránkách, je skvělé jak pro soukromí, tak pro soukromí (protože to ztěžuje práci NSA a jeho ilků!).

Hlavní věcí, kterou si musíte zapamatovat, je vždy zkontrolovat, zda ikona zámku není zavřená, když děláte něco, co vyžaduje bezpečnost nebo soukromí na internetu. Pokud používáte nezabezpečené připojení k internetu (například veřejné WiFi hotspoty), můžete stále bezpečně surfovat po webu, pokud navštívíte pouze šifrované weby HTTPS..

Pokud se z nějakého důvodu obáváte o web, můžete zkontrolovat jeho SSL certifikát a zjistit, zda patří majiteli, kterého byste od tohoto webu očekávali..

TL je, že díky HTTPS můžete surfovat na webových stránkách bezpečně a soukromě, což je skvělé pro váš klid!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me