Nors pastaruoju metu stiprus šifravimas tapo madingas, pastaruosius 20 metų svetainės reguliariai naudoja stiprų šifravimą. Galų gale, jei svetainių nepavyktų padaryti labai saugiomis, jokia tokia internetinės prekybos forma, kaip apsipirkimas ar bankininkystė, būtų neįmanoma. Tam naudojamas šifravimo protokolas yra HTTPS, reiškiantis „HTTP Secure“ (arba HTTP over SSL / TLS). Jį naudoja bet kuri svetainė, kuri turi apsaugoti vartotojus, ir tai yra pagrindinis viso saugumo internete pagrindas.

HTTPS vis dažniau naudoja ir svetainės, kurių saugumas nėra pagrindinis prioritetas. Tai iš esmės kelia padidėjusį susirūpinimą dėl bendrų interneto privatumo ir saugumo problemų po Edvardo Snowdeno masinių vyriausybės stebėjimų atskleidimo.

Tokie projektai, kaip EŽF iniciatyva „Let’s Encrypt“, „Symantec“ programa „Encryption visur“ ir „Mozilla“, nusprendę nusidėvėti ne HTTPS saugiais paieškos rezultatais, vis dėlto paspartino bendrą protokolo priėmimą..

Taigi ką daro HTTPS?

Kai lankotės nesaugioje HTTP svetainėje, visi duomenys perduodami nešifruoti, todėl visi žiūrintys gali pamatyti viską, ką darote lankydamiesi toje svetainėje (įskaitant tokius dalykus kaip jūsų operacijos duomenys, kai mokėjote internetu). Tai netgi įmanoma pakeisti tarp jūsų ir žiniatinklio serverio perduodamus duomenis.

Naudojant HTTPS, kriptografinis raktas keičiamas pirmą kartą prisijungus prie svetainės, o visi vėlesni veiksmai svetainėje yra užšifruoti, todėl jie nėra paslėpti nuo smalsių akių. Atminkite, kad visi žiūrintys gali pamatyti, kad lankėtės tam tikroje svetainėje, bet negali pamatyti, kuriuos atskirus puslapius jūs skaitėte ar bet kokius kitus duomenis, perduotus būnant toje svetainėje.


Pvz., „ProPrivacy“ svetainė yra apsaugota naudojant HTTPS. Darant prielaidą, kad nesinaudojote šiuo tinklalapiu, jūsų interneto paslaugų teikėjas gali pamatyti, kad lankėtės svetainėje proprivacy.com, bet nematote, kad skaitote šį straipsnį.

Jei naudojate VPN, tada jūsų VPT teikėjas gali pamatyti tą pačią informaciją, tačiau geras asmuo naudos bendrai naudojamus IP, todėl jis nežino, kuris iš daugelio jos vartotojų lankėsi proprivacy.com, ir pašalins visus žurnalus, susijusius su aplankyti vistiek.

Atminkite, kad „HTTPS“ naudoja „šifravimą“ nuo vieno iki kito, taigi visi duomenys, perduodami iš jūsų kompiuterio (ar išmaniojo telefono ir pan.) Į tą svetainę, yra šifruojami. Tai reiškia, kad galite saugiai pasiekti HTTPS svetaines, net prisijungę prie nesaugių viešųjų „WiFi“ prieigos taškų ir pan.

Kaip sužinoti, ar svetainė yra saugi?

Nesunku pasakyti, ar jūsų lankomą svetainę apsaugo HTTPS:

  1. Apskritai pagrindinės URL / paieškos juostos kairėje matysite užrakintos spynos piktogramą.
  2. Dažniausiai žiniatinklio adresas prasideda nuo https: //. (Neapsaugotos svetainės prasideda raide http: //, bet ir https: //, ir http: // dažnai paslėptos.)

Neapsaugota svetainė „Firefox“ - nėra HTTPS

Neapsaugota svetainė „Chrome“

Čia yra neužtikrintų svetainių („Firefox“ ir „Chrome“) pavyzdžiai. Atminkite, kad žiniatinklio adresai (URL) neprasideda https: ir kad paieškos juostos kairėje nerodoma spynos piktograma

Saugoma svetainė „Firefox“

Saugoma svetainė „Chrome“

Apsaugotas svetainės kraštas

Čia yra keletas saugių HTTPS svetainių „Firefox“, „Chrome“ ir „Microsoft Edge“. Nors jie visi atrodo šiek tiek skirtingai, visose juose aiškiai matome uždarytą spynos piktogramą, esančią šalia adreso juostos. Atminkite, kad skirtingai nei daugelyje naršyklių, „Edge“ URL pradžioje nerodo https: //. Taip pat pastebėsite, kad piktograma gali būti žalia arba pilka ...

Kuo skiriasi žalios ir pilkos spalvos spynos piktogramos?

Jei rodoma spynos piktograma, svetainė yra saugi. Tačiau jei piktograma yra žalia, tai reiškia, kad svetainė pateikė jūsų naršyklei išplėstinį patvirtinimo pažymėjimą (EV). Jie skirti patikrinti, ar pateiktas SSL sertifikatas yra teisingas domenui ir ar domeno vardas priklauso įmonei, kuriai, jūsų manymu, priklausys svetainė.

Teoriškai tuomet turėtumėte labiau pasitikėti svetainėmis, kuriose rodoma žalia pakabinamų raktų pakabuku. Tačiau praktikoje patvirtinimo sistema gali būti painiava.

nwolb

Pavyzdžiui, Jungtinėje Karalystėje „NatWest“ banko internetinės bankininkystės adresą (www.nwolb.com) apsaugo EV, priklausantis tai, ką atsitiktinis stebėtojas gali pamanyti kaip greitkelio konkurentą - Škotijos Karališkąjį banką. Jei nežinote, kad „NatWest“ priklauso „RBS“, tai gali sukelti nepasitikėjimą sertifikatu, nepaisant to, ar jūsų naršyklė jam suteikė žalią piktogramą.

Sumišimo taip pat gali sukelti tai, kad skirtingos naršyklės kartais naudoja skirtingus kriterijus, leidžiančius priimti „Firefox“ ir „Chrome“, pvz., Lankydamosi Wikipedia.com rodo žalią spyną, tačiau „Microsoft Edge“ rodo pilką piktogramą.

Apskritai turėtų vyrauti sveikas protas. Jei lankotės „Google“ ir URL yra www.google.com, tuomet galite būti tikri, kad domenas priklauso „Google“, kad ir kokia būtų spynos piktograma.!

Kitos spynos piktogramos

Taip pat galite susidurti su kitomis spynos piktogramomis, kurios žymi tokius dalykus kaip mišrus turinys (svetainė yra tik iš dalies užšifruota ir neužkerta kelio slaptam slapyvardžiui) ir blogi ar pasibaigę SSL sertifikatai. Tokių svetainių yra nesaugu.

Papildoma informacija

Visose naršyklėse galite sužinoti papildomos informacijos apie SSL sertifikatą, naudojamą patvirtinti HTTPS ryšį, spustelėdami spynos piktogramą..

Daugiau informacijos apie HTTPS

Dauguma naršyklių leidžia kasti toliau ir netgi peržiūrėti patį SSL sertifikatą

Kaip iš tikrųjų veikia HTTPS?

Pavadinimas „Hiperteksto perdavimo protokolas“ (HTTP) iš esmės žymi standartinį neužtikrintą (tai yra programos protokolas, leidžiantis tinklalapiams prisijungti tarpusavyje per hipersaitus)..

HTTPS tinklalapiai yra apsaugoti naudojant TLS šifravimą, o autentifikavimo algoritmus nustato žiniatinklio serveris.

TLS išsami informacija

Daugelis naršyklių pateiks jums informacijos apie TLS šifravimą, naudojamą HTTPS ryšiams. Tai yra šifravimas, kurį naudoja „ProPrivacy“, kaip parodyta „Firefox“. Daugiau informacijos apie daugelį vartojamų terminų galite rasti čia

Norėdami derėtis dėl naujo ryšio, HTTPS naudojasi X.509 viešojo rakto infrastruktūra (PKI) - asimetrine raktų šifravimo sistema, kai žiniatinklio serveris pateikia viešą raktą, kuris iššifruojamas naudojant naršyklės privatųjį raktą. X.509, norėdamas apsisaugoti nuo vidurio puolimo, naudoja HTTPS sertifikatus - mažus duomenų failus, kurie skaitmeniniu būdu susieja svetainės viešąjį kriptografinį raktą prie organizacijos informacijos.

HTTPS sertifikatą išduoda pripažinta sertifikatų tarnyba (CA), kuri sertifikato subjektui patvirtina viešojo rakto nuosavybės teises - kriptografiškai veikia kaip patikima trečioji šalis (TTP)..

Jei svetainė rodo jūsų naršyklę pripažintos CA pažyma, jūsų naršyklė nustatys, kad svetainė yra autentiška (a rodo uždarytos spynos piktogramą). Kaip jau minėta anksčiau, išplėstiniai patvirtinimo pažymėjimai (EV) yra bandymas padidinti pasitikėjimą šiais SSL pažymėjimais.

HTTPS visur

Daugelis svetainių gali naudoti, bet ne pagal numatytuosius nustatymus. Tokiomis priemonėmis dažnai galima saugiai prieiti prie jų, tiesiog įvedant jų interneto adresą naudojant https: // (o ne: //). Tačiau kur kas geresnis sprendimas yra naudoti „HTTPS visur“.

Tai nemokamas ir atviro kodo naršyklės plėtinys, sukurtas bendradarbiaujant ir „Electronic Frontier Foundation“. Įdiegęs „HTTPS visur“ naudoja „sumanią technologiją, kad perrašytų šių svetainių užklausas į HTTPS“.

Jei yra HTTPS ryšys, plėtinys bandys jus saugiai sujungti su svetaine per HTTPS, net jei tai nėra atliekama pagal numatytuosius nustatymus. Jei HTTPS ryšio iš viso nėra, prisijungsite naudodami įprastą nesaugų HTTP.

Įdiegę „HTTPS visur“, saugiai prisijungsite prie daugelio kitų svetainių, todėl mes labai rekomenduoju diegiant. „HTTP visur“ yra prieinamas „Firefox“ (įskaitant „Firefox“, skirtą „Android“), „Chrome“ ir „Opera“.

Problemos su HTTPS

Padirbti SSL sertifikatai

Didžiausia „HTTPS“ problema yra ta, kad visa sistema remiasi pasitikėjimo žiniatinkliu - mes pasitikime CA, kad SSL sertifikatus išduotų tik patikrintiems domenų savininkams. Tačiau ...

Yra apie 1200 CA, galinčių pasirašyti domenų, kuriuos priims beveik bet kuri naršyklė, sertifikatus. Nors norint tapti CA reikia atlikti daugybę formalumų (ne tik kiekvienas gali įsitvirtinti kaip CA!), Jie gali (ir yra) pasitelkti vyriausybių (didžiausia problema), įbauginti sukčių ar nugriauti nusikaltėlius, kad išduotų melagingus dokumentus. pažymėjimai.

Tai reiškia, kad:

  1. Turint šimtus sertifikatus išduodančių institucijų, reikia tik vieno „blogo kiaušinio“, išduodančio nesąžiningus sertifikatus, kad būtų pakenkta visai sistemai
  2. Išdavus sertifikatą, negalima atšaukti to sertifikato, išskyrus atvejus, kai naršyklės gamintojas išduoda pilną naršyklės atnaujinimą.

Jei naršyklė apsilanko pažeistoje svetainėje ir jai pateikiamas galiojantis HTTPS sertifikatas, ji inicijuos, jos manymu, saugų ryšį, ir URL rodys spyną..

Baisu yra tai, kad tik vienam iš daugiau nei 1200 CA reikia pakenkti, kad jūsų naršyklė priimtų ryšį. Kaip pastebima šiame EŽF straipsnyje,

Trumpai tariant: šiandien yra daugybė būdų, kaip sugriauti HTTPS / TLS / SSL, net kai svetainės daro viską tinkamai. Kaip šiuo metu įdiegta, interneto saugumo protokolai gali būti pakankamai geri, kad apsisaugotų nuo užpuolikų, turinčių ribotą laiką ir motyvaciją, tačiau jie yra nepakankami pasauliui, kuriame geopolitiniai ir verslo konkursai vis dažniau rengiami išpuoliais prieš kompiuterių sistemų saugumą..

Peteris Eckersley

Deja, ši problema toli gražu nėra teorinė. Lygiai taip pat, deja, nėra visuotinai pripažintų sprendimų, nors, kartu su EV, bandant išspręsti problemą, viešųjų raktų prisegimas naudojamas moderniausiose svetainėse..

Prisegdama viešąjį raktą, naršyklė susieja svetainės pagrindinį kompiuterį su tikėtinu HTTPS sertifikatu arba viešuoju raktu (ši asociacija yra „prisegta“ prie pagrindinio kompiuterio), o jei bus pateiktas netikėtas sertifikatas ar raktas, jis atsisakys priimti ryšį ir išduos jums perspėjimas.

Elektroninis pasienio fondas (EŽF) taip pat pradėjo SSL observatorijos projektą, kurio tikslas - ištirti visus sertifikatus, naudojamus saugant internetą, ir pakviesti visuomenę atsiųsti sertifikatus analizei. Tačiau, kiek žinau, šis projektas niekada nebuvo tikras ir daugelį metų neveikė.

Eismo analizė

Tyrėjai parodė, kad srauto analizė gali būti naudojama naudojant HTTPS ryšius, kad būtų galima nustatyti atskirus tinklalapius, kuriuose 89 tikslumu yra aplankytas objektas HTTPS apsaugotose svetainėse..

Nors tai kelia nerimą, bet kokia tokia analizė būtų labai tikslingas išpuolis prieš konkrečią auką.

HTTPS išvada

Nors ir nėra tobulas (bet kas yra?), HTTPS yra gera svetainių saugos priemonė. Jei to nebuvo, tai nebus įmanoma nė viena iš milijardų finansinių operacijų ir asmens duomenų perdavimo, kurie kiekvieną dieną vyksta internete, o pats internetas (o galbūt ir pasaulio ekonomika!) Per naktį žlugs..

Tai, kad HTTPS diegimas vis labiau tampa standartinis interneto svetainėse, yra puikus ir privatumas (nes tai apsunkina NSA ir jos žinučių darbą!).

Svarbiausia atsiminti, kad darydami bet ką, kas reikalauja saugumo ar privatumo internete, visada patikrinkite, ar nėra uždarytos spynos piktogramos. Jei naudojate nesaugų interneto ryšį (pvz., Viešą „WiFi“ viešosios interneto prieigos tašką), vis tiek galite saugiai naršyti internete, kol lankotės tik HTTPS šifruotose svetainėse.

Jei dėl kokių nors priežasčių nerimaujate dėl svetainės, galite patikrinti jos SSL sertifikatą ir sužinoti, ar ji priklauso savininkui, kurio tikėtumėtės iš šios svetainės.

TL yra tai, kad dėka HTTPS galite saugiai ir privačiai naršyti svetainėse, o tai puikiai tinka jūsų ramybei!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me