Hoci silné šifrovanie sa nedávno stalo trendom, webové stránky už 20 rokov bežne používajú silné šifrovanie typu end-to-end. Ak by sa webové stránky nedali vytvoriť veľmi bezpečne, potom by nebola možná žiadna forma online obchodu, napríklad nakupovanie alebo bankovníctvo. Na tento účel sa používa šifrovací protokol HTTPS, čo znamená HTTP Secure (alebo HTTP over SSL / TLS). Používajú ho všetky webové stránky, ktoré potrebujú zabezpečiť používateľov a sú základným pilierom všetkej bezpečnosti na internete.


HTTPS sa čoraz viac používajú aj na webových stránkach, pre ktoré bezpečnosť nie je hlavnou prioritou. Toto je z veľkej časti zvýšené znepokojenie nad všeobecnými problémami ochrany súkromia a internetu v dôsledku masových odhalení vládneho dohľadu Edwarda Snowdena..

Projekty, ako je iniciatíva EFF s programom šifrovania, program Symantec Encryption Everywhere a Mozilla, ktoré sa rozhodli odpisovať výsledky vyhľadávania bez protokolu HTTPS, však urýchlili všeobecné prijatie protokolu..

Čo robí HTTPS?

Keď navštívite nezabezpečenú webovú stránku HTTP, všetky údaje sa prenášajú nešifrované, takže ktokoľvek, kto sleduje, môže počas návštevy webovej stránky vidieť všetko, čo robíte (vrátane vecí, ako sú napríklad podrobnosti o vašej transakcii pri platbách online). Je dokonca možné zmeniť údaje prenášané medzi vami a webovým serverom.

Pri HTTPS dôjde k výmene kryptografických kľúčov pri prvom pripojení k webovej stránke a všetky nasledujúce akcie na webovej stránke sú šifrované, a preto sú skryté pred zvedavými očami. Všimnite si, že každý, kto sleduje, môže vidieť, že ste navštívili určitú webovú stránku, ale nemôže vidieť, aké jednotlivé stránky ste prečítali, ani akékoľvek iné údaje prenesené na tejto webovej stránke..

Napríklad web ProPrivacy je zabezpečený pomocou HTTPS. Za predpokladu, že pri čítaní tejto webovej stránky nepoužívate, váš poskytovateľ internetových služieb môže vidieť, že ste navštívili web proprivacy.com, ale nevidíte, že čítate tento konkrétny článok..

Ak používate sieť VPN, váš poskytovateľ VPN môže vidieť rovnaké informácie, ale dobrý poskytovateľ použije zdieľané adresy IP, takže nevie, ktorý z jeho mnohých používateľov navštívil web proprivacy.com, a zruší všetky protokoly týkajúce sa napriek tomu navštíviť.

HTTPS používa šifrovanie typu end-to-end, takže všetky údaje prenášané medzi počítačom (alebo smartfónom atď.) A touto webovou stránkou sú šifrované. To znamená, že k webovým stránkam HTTPS môžete bezpečne pristupovať, aj keď sú pripojené k nezabezpečeným verejným hotspotom WiFi a podobne.

Ako zistím, či je webová stránka bezpečná?

Je ľahké zistiť, či je web, ktorý navštívite, zabezpečený pomocou protokolu HTTPS:

  1. Vpravo od hlavného panela s adresou URL alebo vyhľadávacím poľom sa zobrazí ikona uzamknutého zámku.
  2. Vo väčšine prípadov sa webová adresa začína reťazcom https: //. (Nezabezpečené webové stránky začínajú reťazcom http: //, ale https: // aj http: // sú často skryté.)

Nezabezpečené webové stránky Firefox - žiadne HTTPS

Nezabezpečené webové stránky Chrome

Tu sú príklady nezabezpečených webových stránok (Firefox a Chrome). Všimnite si, že webové adresy (URL) nezačínajú reťazcom https: a že naľavo od panela vyhľadávania sa nezobrazuje žiadna ikona zámku.

Zabezpečená webová stránka Firefox

Zabezpečená webová stránka Chrome

Zabezpečená webová stránka Edge

Tu sú niektoré zabezpečené weby HTTPS v prehliadačoch Firefox, Chrome a Microsoft Edge. Aj keď všetky vyzerajú trochu inak, vo všetkých z nich jasne vidíme ikonu zavretého zámku. Všimnite si, že na rozdiel od väčšiny prehliadačov Edge nezobrazuje https: // na začiatku adresy URL. Všimnite si tiež, že ikona môže byť zelená alebo sivá ...

Aký je rozdiel medzi zelenými a šedými ikonami visiacich zámkov?

Ak sa zobrazí ikona zámku, webová stránka je bezpečná. Ak je však ikona zelená, znamená to, že webová lokalita predložila vášmu prehliadaču certifikát s predĺženým overením platnosti (EV). Ich cieľom je overiť, či je predložený certifikát SSL správny pre danú doménu a či názov domény patrí spoločnosti, od ktorej by ste mali očakávať vlastníctvo webovej stránky..

Teoreticky by ste mali mať väčšiu dôveru k webovým stránkam, ktoré zobrazujú zelený zámok. V praxi však môže byť systém validácie mätúci.

nwolb

Napríklad vo Veľkej Británii je adresa internetového bankovníctva NatWest banky (www.nwolb.com) zabezpečená EV, ktorá patrí tomu, čo by náhodný pozorovateľ mohol považovať za konkurenta na vysokej ulici - Royal Bank of Scotland. Pokiaľ neviete, že spoločnosť NatWest vlastní spoločnosť RBS, mohlo by to viesť k nedôvere k certifikátu, bez ohľadu na to, či mu váš prehliadač dal zelenú ikonu..

Zmätok môže byť tiež spôsobený skutočnosťou, že rôzne prehliadače niekedy používajú rôzne kritériá na prijatie prehliadačov Firefox a Chrome, napríklad pri návšteve stránok Wikipedia.com zobrazujú zelený zámok, ale Microsoft Edge zobrazuje sivú ikonu.

Vo všeobecnosti by mal prevládať zdravý rozum. Ak navštevujete spoločnosť Google a adresa URL je www.google.com, môžete si byť celkom istí, že doména patrí spoločnosti Google, bez ohľadu na ikonu zámku!

Ostatné ikony zámku

Môžete sa tiež stretnúť s inými ikonami visiacich zámkov, ktoré označujú napríklad zmiešaný obsah (web je iba čiastočne šifrovaný a nezabráni odpočúvaniu) a zlé alebo neplatné certifikáty SSL. Takéto webové stránky sú nie je zabezpečené.

Ďalšie informácie

Vo všetkých prehľadávačoch nájdete ďalšie informácie o certifikáte SSL používanom na overenie pripojenia HTTPS kliknutím na ikonu zámku.

Viac informácií o HTTPS

Väčšina prehliadačov umožňuje kopať ďalej a dokonca zobraziť samotný certifikát SSL

Ako HTTPS skutočne funguje?

Názov Hypertext Transfer Protocol (HTTP) v podstate označuje štandard nezabezpečený (je to aplikačný protokol, ktorý umožňuje webovým stránkam navzájom sa pripájať prostredníctvom hypertextových odkazov).

Webové stránky HTTPS sú zabezpečené pomocou šifrovania TLS, pričom algoritmy a autentifikácia určuje webový server.

Podrobnosti TLS

Väčšina prehľadávačov vám poskytne podrobnosti o šifrovaní TLS používanom pre pripojenia HTTPS. Toto je šifrovanie, ktoré používa ProPrivacy, ako je zobrazené vo Firefoxe. Viac informácií o mnohých použitých výrazoch nájdete tu

Pri rokovaniach o novom pripojení HTTPS používa infraštruktúru verejného kľúča X.509 (PKI), asymetrický systém šifrovania kľúčov, kde webový server predstavuje verejný kľúč, ktorý sa dešifruje pomocou súkromného kľúča prehliadača. Na zabezpečenie proti útoku typu človek v strede používa X.509 certifikáty HTTPS - malé dátové súbory, ktoré digitálne viažu verejný kryptografický kľúč webovej stránky na podrobnosti organizácie..

Certifikát HTTPS vydáva uznávaná certifikačná autorita (CA), ktorá osvedčuje vlastníctvo verejného kľúča menovaným subjektom certifikátu - v kryptografickej podobe ako dôveryhodná tretia strana (TTP).

Ak webová stránka zobrazí vášmu prehliadaču osvedčenie od uznávanej CA, váš prehliadač určí, či je web pravý (a zobrazuje ikonu zatvoreného zámku). Ako už bolo uvedené vyššie, rozšírené validačné certifikáty (EV) sú pokusom o zvýšenie dôvery v tieto SSL certifikáty.

HTTPS všade

Mnoho webových stránok môže používať, ale v predvolenom nastavení nie. V takýchto prípadoch je často možné k nim bezpečne pristupovať jednoduchým prefixom ich webovej adresy pomocou https: // (namiesto: //). Avšak oveľa lepším riešením je použitie protokolu HTTPS všade.

Toto je bezplatné a otvorené zdrojové rozšírenie prehľadávača vyvinuté spoluprácou medzi Nadáciou Electronic Frontier Foundation. Po inštalácii HTTPS Everywhere používa „inteligentnú technológiu na prepísanie požiadaviek na tieto stránky do HTTPS“.

Ak je k dispozícii pripojenie HTTPS, rozšírenie sa pokúsi vás bezpečne pripojiť na webovú stránku prostredníctvom protokolu HTTPS, aj keď sa to predvolene nevykonáva. Ak nie je k dispozícii žiadne pripojenie HTTPS, pripojíte sa prostredníctvom bežného nezabezpečeného protokolu HTTP.

S nainštalovaným protokolom HTTPS všade sa bezpečne pripojíte k mnohým ďalším webovým stránkam dôrazne odporúčam inštalácia. HTTP Everywhere je k dispozícii pre Firefox (vrátane Firefox pre Android), Chrome a Opera.

Problémy s HTTPS

Falošné certifikáty SSL

Najväčší problém s HTTPS je v tom, že celý systém sa spolieha na sieť dôvery - dôverujeme CA, že vydávajú certifikáty SSL iba overeným vlastníkom domény. Avšak ...

Existuje asi 1200 CA, ktoré môžu podpísať certifikáty domén, ktoré akceptuje takmer akýkoľvek prehliadač. Hoci sa stať CA znamená absolvovanie mnohých formalít (nielen CA sa môže ustanoviť ako CA!), Môžu sa o neho (a najväčší problém) opierať vlády (najväčší problém), zastrašovaní zločincami alebo hackermi, aby vydávali nepravdivé údaje. certifikáty.

To znamená, že:

  1. So stovkami certifikačných autorít je potrebné iba jedno „zlé vajíčko“, ktoré vydáva riskantné certifikáty, aby ohrozilo celý systém
  2. Po vydaní certifikátu nie je možné tento certifikát odvolať, s výnimkou toho, že výrobca prehliadača vydáva úplnú aktualizáciu prehliadača.

Ak váš prehliadač navštívi napadnutú webovú stránku a zobrazí sa s tým, čo vyzerá ako platný certifikát HTTPS, iniciuje to, čo považuje za bezpečné pripojenie, a v adrese URL zobrazí visiaci zámok..

Strašidelné je, že iba jeden z 1200 CA musí byť napadnutý, aby váš prehliadač akceptoval pripojenie. Ako uvádza tento článok EFF,

Stručne povedané: existuje mnoho spôsobov, ako rozbiť HTTPS / TLS / SSL dnes, aj keď webové stránky urobia všetko správne. Ako sa v súčasnosti implementuje, bezpečnostné protokoly webu môžu byť dosť dobré na ochranu pred útočníkmi s obmedzeným časom a motiváciou, sú však nedostatočné pre svet, v ktorom sa čoraz častejšie odohrávajú geopolitické a obchodné súťaže prostredníctvom útokov na bezpečnosť počítačových systémov..

Peter Eckersley

Bohužiaľ, tento problém nie je ani zďaleka teoretický. Rovnako bohužiaľ neexistujú žiadne všeobecne uznávané riešenia, aj keď spolu s európskymi reklamnými sieťami sa väčšina moderných webových stránok používa ako súčasť verejného kľúča s cieľom vyriešiť tento problém..

Pri pripnutí verejného kľúča prehliadač priradí hostiteľa webovej stránky k očakávanému certifikátu HTTPS alebo verejnému kľúču (toto priradenie je hostiteľovi pripnuté) a ak sa zobrazí s neočakávaným certifikátom alebo kľúčom, odmietne prijať pripojenie a vydá vám výstraha.

Nadácia Electronic Frontier Foundation (EFF) začala aj projekt Observatória SSL s cieľom preskúmať všetky certifikáty používané na zabezpečenie internetu a vyzvať verejnosť, aby ich poslala na analýzu. Pokiaľ som si však vedomý, tento projekt sa nikdy skutočne nevystúpil a roky spal.

Analýza dopravy

Vedci preukázali, že na pripojenie HTTPS sa dá použiť analýza prenosu na identifikáciu jednotlivých webových stránok navštívených cieľom na webových stránkach zabezpečených HTTPS s presnosťou 89.

Aj keď je to znepokojujúce, akákoľvek takáto analýza by predstavovala vysoko cielený útok proti konkrétnej obeti.

Záver HTTPS

Aj keď nie je dokonalý (ale čo je?), HTTPS je dobrým bezpečnostným opatrením pre webové stránky. Keby to nebolo, potom by nebola možná žiadna z miliárd finančných transakcií a prenosov osobných údajov, ktoré sa každý deň vyskytujú na internete, a samotný internet (a možno aj svetové hospodárstvo!) By sa cez noc nezrútil..

To, že sa implementácia HTTPS na webových stránkach stáva čoraz bežnejšou, je skvelé pre súkromie aj pre súkromie (pretože to sťažuje prácu NSA a jeho nelegálnej práce!).

Najdôležitejšou vecou, ​​ktorú si treba zapamätať, je vždy skontrolovať ikonu zatvoreného zámku, keď robí niečo, čo vyžaduje bezpečnosť alebo súkromie na internete. Ak používate nezabezpečené pripojenie k internetu (napríklad verejný WiFi hotspot), môžete bezpečne surfovať po webe, pokiaľ navštívite iba webové stránky šifrované HTTPS..

Ak sa z nejakého dôvodu obávate webovej stránky, môžete skontrolovať jej certifikát SSL a zistiť, či patrí vlastníkovi, ktorý by ste od tejto webovej stránky očakávali..

TL je, že vďaka HTTPS môžete surfovať na webových stránkach bezpečne a súkromne, čo je skvelé pre váš pokoj!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me