Deși criptarea puternică a devenit recent la modă, site-urile web folosesc în mod obișnuit criptare puternică de la capăt la ultimii 20 de ani. La urma urmei, dacă site-urile web nu ar putea fi făcute foarte sigure, atunci nu ar fi posibilă nicio formă de comerț online cum ar fi cumpărăturile sau serviciile bancare. Protocolul de criptare utilizat pentru acest lucru este HTTPS, care înseamnă HTTP Secure (sau HTTP peste SSL / TLS). Este utilizat de orice site web care trebuie să asigure utilizatorii și este coloana vertebrală fundamentală a tuturor securității pe internet.

De asemenea, HTTPS este din ce în ce mai folosit de site-urile web pentru care securitatea nu este o prioritate majoră. Aceasta este în mare parte îngrijorată pentru problemele generale de confidențialitate și securitate pe internet, ca urmare a dezvăluirilor de supraveghere ale guvernului în masă ale lui Edward Snowden..

Totuși, proiecte precum inițiativa Let’s Encrypt EFF, programul Symantec Encryption Everywhere și Mozilla care aleg să deprecieze rezultatele căutării non-HTTPS au accelerat însă adoptarea generală a protocolului.

Deci ce face HTTPS?

Când vizitați un site HTTP nesigur, toate datele sunt transferate necriptate, astfel încât oricine urmărește poate vedea tot ce faceți în timp ce vizitează site-ul respectiv (inclusiv lucruri precum detaliile tranzacției dvs. atunci când faceți plăți online). Este chiar posibil să modificați datele transferate între dvs. și serverul web.

Cu HTTPS, un schimb de chei criptografice are loc atunci când te conectezi la site-ul web și toate acțiunile ulterioare de pe site sunt criptate și, prin urmare, ascunse de ochii indurerați. Rețineți că oricine urmărește poate vedea că ați vizitat un anumit site web, dar nu poate vedea ce pagini individuale citiți sau orice alte date transferate pe site-ul respectiv.


De exemplu, site-ul web ProPrivacy este securizat folosind HTTPS. Presupunând că nu utilizați un timp citind această pagină web, ISP-ul dvs. poate vedea că ați vizitat proprivacy.com, dar nu poate vedea că citiți acest articol special.

Dacă utilizați un VPN, atunci furnizorul dvs. de VPN poate vedea aceleași informații, dar unul bun va utiliza IP-uri partajate, astfel încât nu știe care dintre numeroșii săi utilizatori au vizitat proprivacy.com și va elimina toate jurnalele referitoare la vizita oricum.

Rețineți că HTTPS folosește criptarea end-to-end, astfel încât toate datele care trec între computer (sau smartphone, etc.) și acel site web sunt criptate. Aceasta înseamnă că puteți accesa site-urile HTTPS în condiții de siguranță, chiar și atunci când sunteți conectat la hotspoturi WiFi publice nesigure și altele asemenea.

Cum știu dacă un site web este securizat?

Este ușor de spus dacă un site web pe care îl vizitați este securizat prin HTTPS:

  1. În total, veți vedea o pictogramă cu lacăt blocat în stânga imediată a barei principale URL / Căutare.
  2. În cele mai multe, adresa web va începe cu https: //. (Site-urile nesecurizate încep cu http: //, dar ambele https: // și http: // sunt adesea ascunse.)

Site-ul nesecurizat Firefox - fără HTTPS

Site-ul nesecurizat Chrome

Iată câteva exemple de site-uri web nesecurizate (Firefox și Chrome). Observați că adresele web (adresele URL) nu încep cu https: și că nici o pictogramă de lacat nu este afișată în stânga barei de căutare

Site securizat Firefox

Site securizat Chrome

Site securizat Edge

Iată câteva site-uri web securizate HTTPS în Firefox, Chrome și Microsoft Edge. Deși toate arată ușor diferit, în toate acestea putem vedea în mod clar o pictogramă cu lacăt închis lângă bara de adrese. Rețineți că, spre deosebire de majoritatea browserelor, Edge nu arată https: // la începutul adresei URL. Veți observa, de asemenea, că pictograma poate fi verde sau gri ...

Care este diferența dintre pictogramele lacatului verde și gri?

Dacă este afișată o pictogramă cu lacăt, atunci site-ul este securizat. Dacă pictograma este verde, aceasta indică faptul că site-ul web a prezentat browserului dvs. un certificat de validare extinsă (EV). Acestea sunt destinate să verifice dacă certificatul SSL prezentat este corect pentru domeniu și că numele de domeniu aparține companiei pe care așteptați să o dețineți site-ului web.

În teorie, atunci, ar trebui să ai o încredere mai mare în site-urile web care afișează un lacăt verde. În practică, însă, sistemul de validare poate fi confuz.

nwolb

De exemplu, în Marea Britanie, adresa bancară online a Băncii NatWest (www.nwolb.com) este asigurată de un EV aparținând ceea ce ar putea considera observatorul ocazional ca un concurent al străzii - Banca Regală a Scoției. Dacă nu știți că NatWest este deținut de RBS, acest lucru poate duce la neîncredere în Certificat, indiferent dacă browser-ul dvs. i-a dat o pictogramă verde.

Confuzia poate fi cauzată și de faptul că browserele diferite folosesc uneori criterii diferite pentru a accepta Firefox și Chrome, de exemplu, afișează un lacăt verde atunci când vizitați Wikipedia.com, dar Microsoft Edge arată o pictogramă gri.

În general, bunul simț ar trebui să prevaleze. Dacă vizitați Google și adresa URL este www.google.com, atunci puteți fi sigur că domeniul aparține Google, indiferent de pictograma lacatului!

Alte pictograme cu lacăt

Puteți întâlni, de asemenea, alte pictograme cu lacăt care denotă lucruri precum conținutul mixt (site-ul web este doar parțial criptat și nu împiedică trasarea) și certificate SSL rău sau expirate. Astfel de site-uri sunt nu sigur.

Informatii suplimentare

În toate browserele, puteți afla informații suplimentare despre certificatul SSL utilizat pentru validarea conexiunii HTTPS făcând clic pe pictograma lacat.

Mai multe informații HTTPS

Majoritatea browserelor permit săparea în continuare și chiar vizualizează certificatul SSL în sine

Cum funcționează de fapt HTTPS?

Numele Hypertext Transfer Protocol (HTTP) denumește în principiu standard nesecurizat (este protocolul de aplicație care permite paginilor web să se conecteze între ele prin intermediul hyperlink-urilor).

Paginile web HTTPS sunt securizate folosind criptarea TLS, cu algoritmii de autentificare și determinați de serverul web.

Detalii TLS

Majoritatea browserelor vă vor oferi detalii despre criptarea TLS folosită pentru conexiunile HTTPS. Aceasta este criptarea folosită de ProPrivacy, așa cum este afișat în Firefox. Mai multe informații despre mulți dintre termenii folosiți găsiți aici

Pentru a negocia o conexiune nouă, HTTPS folosește X.509 Public Key Infrastructure (PKI), un sistem de criptare a cheilor asimetrice în care un server web prezintă o cheie publică, care este decriptată folosind cheia privată a unui browser. Pentru a vă asigura împotriva unui atac împotriva omului, X.509 folosește certificate HTTPS - fișiere mici de date care leagă digital cheia criptografică a unui site web de detaliile unei organizații..

Un certificat HTTPS este emis de o autoritate de certificare recunoscută (CA) care certifică dreptul de proprietate al unei chei publice de către subiectul numit al certificatului - acționând în termeni criptografici ca un terț de încredere (TTP).

Dacă un site web arată browser-ului dvs. un certificat de la un CA recunoscut, browserul dvs. va determina site-ul să fie autentic (o pictogramă a lacătului închis). Și după cum am menționat anterior, certificatele de validare extinsă (EV) sunt o încercare de a îmbunătăți încrederea în aceste certificate SSL.

HTTPS Oriunde

Multe site-uri web pot utiliza, dar nu implicit. În astfel de cazuri, este adesea posibil să le accesăm în siguranță, pur și simplu prefixând adresa lor web cu https: // (mai degrabă decât: //). O soluție mult mai bună este totuși să folosești HTTPS Everywhere.

Aceasta este o extensie gratuită și deschisă a browserului dezvoltat de o colaborare între și Electronic Frontier Foundation. Odată instalată, HTTPS Everywhere folosește „tehnologie inteligentă pentru a rescrie HTTPS cereri către aceste site-uri.”

Dacă este disponibilă o conexiune HTTPS, extensia va încerca să vă conecteze în siguranță la site-ul web prin HTTPS, chiar dacă aceasta nu este efectuată implicit. Dacă nu este disponibilă deloc o conexiune HTTPS, vă veți conecta prin HTTP obișnuit nesigur.

Cu HTTPS Everywhere instalat, vă veți conecta la multe alte site-uri în siguranță, și, prin urmare, noi recomandat cu tărie instalarea acesteia. HTTP Everywhere este disponibil pentru Firefox (inclusiv Firefox pentru Android), Chrome și Opera.

Probleme cu HTTPS

Certificate false SSL

Cea mai mare problemă cu HTTPS este că întregul sistem se bazează pe o rețea web de încredere - avem încredere ca CA-urile să emită numai certificate SSL proprietarilor de domenii verificate. In orice caz…

Există aproximativ 1200 de CA-uri care pot semna certificate pentru domenii care vor fi acceptate de aproape orice browser. Deși a deveni un CA implică multe formalități (nu doar oricine se poate înființa ca CA!), Ele pot fi (și sunt) susținute de guverne (cea mai mare problemă), intimidate de escroci sau hacked de infractori pentru a emite false. certificate.

Aceasta înseamnă că:

  1. Cu sute de autorități de certificare, este nevoie de doar un „ou rău” care eliberează certificate dodgy pentru a compromite întregul sistem
  2. Odată ce un certificat este emis, nu există nicio modalitate de revocare a certificatului, cu excepția faptului că producătorul browserului emite o actualizare completă a browserului.

Dacă browserul dvs. vizitează un site web compromis și i se prezintă aspectul unui certificat HTTPS valid, va iniția ceea ce crede că este o conexiune sigură și va afișa un lacăt în URL.

Lucrul înfricoșător este că doar una dintre cele 1200+ CA trebuie să fi fost compromisă pentru ca browserul dvs. să accepte conexiunea. După cum observă acest articol din FEP,

Pe scurt: există o mulțime de modalități de a sparge HTTPS / TLS / SSL astăzi, chiar și atunci când site-urile web fac totul bine. După cum este implementat în prezent, protocoalele de securitate ale web-ului pot fi suficient de bune pentru a fi protejate împotriva atacatorilor cu timp și motivație limitată, dar sunt inadecvate pentru o lume în care concursurile geopolitice și de afaceri se desfășoară din ce în ce mai mult prin atacuri împotriva securității sistemelor informatice..

Peter Eckersley

Din păcate, această problemă este departe de a fi teoretică. La fel de nefericit, nu există soluții în general recunoscute, deși împreună cu EV-urile, fixarea cheilor publice este folosită de majoritatea site-urilor moderne, în încercarea de a aborda problema.

Cu fixarea cheii publice, browserul asociază o gazdă a site-ului web cu certificatul HTTPS sau cheia publică (această asociație este „fixată” la gazdă), iar dacă este prezentată cu un certificat sau cheie neașteptată va refuza să accepte conexiunea și să vă elibereze o avertizare.

Fundația Electronic Frontier (EFF) a demarat, de asemenea, un proiect SSL Observator cu scopul de a investiga toate certificatele utilizate pentru securizarea internetului, invitând publicul să-i trimită certificate pentru analiză. Din câte știu, totuși, acest proiect nu a renunțat într-adevăr și a rămas lat de ani buni.

Analiza traficului

Cercetătorii au arătat că analiza traficului poate fi utilizată pe conexiunile HTTPS pentru a identifica pagini web individuale vizitate de o țintă pe site-urile web securizate HTTPS cu o precizie de 89.

Deși îngrijorătoare, orice astfel de analiză ar constitui un atac puternic vizat împotriva unei victime specifice.

HTTPS Concluzie

Deși nu este perfect (dar ce este?), HTTPS este o bună măsură de securitate pentru site-uri web. Dacă nu ar fi fost, atunci niciunul dintre miliardele de tranzacții financiare și transferuri de date personale care se întâmplă în fiecare zi pe internet nu ar fi posibil, iar internetul în sine (și, probabil, economia mondială!) Nu s-ar prăbuși peste noapte..

Că implementarea HTTPS devine din ce în ce mai standard pe site-urile web este excelent atât pentru intimitate, cât și pentru confidențialitate (întrucât face munca NSA-ului și mult mai mult!).

Principalul lucru pe care trebuie să-l rețineți este să verificați întotdeauna dacă există un iconar cu lacăt închis atunci când faceți orice care necesită securitate sau confidențialitate pe internet. Dacă utilizați o conexiune la internet nesigură (cum ar fi un hotspot WiFi public), puteți naviga pe internet în siguranță atât timp cât vizitați site-urile web criptate HTTPS.

Dacă din orice motiv sunteți îngrijorat de un site web, puteți verifica certificatul SSL pentru a vedea dacă aparține proprietarului pe care îl așteptați de site-ul respectiv.

TL este că, grație HTTPS, puteți naviga pe site-uri în siguranță și în mod privat, ceea ce este excelent pentru liniștea voastră!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me