Walaupun penyulitan kuat baru-baru ini menjadi trendy, laman web secara rutin menggunakan penyulitan end-to-end kuat selama 20 tahun yang lalu. Lagipun, jika laman web tidak dapat dibuat sangat selamat, maka tidak ada bentuk perdagangan dalam talian seperti membeli-belah atau perbankan yang mungkin. Protokol penyulitan yang digunakan untuk ini adalah HTTPS, yang bermaksud HTTP Secure (atau HTTP over SSL / TLS). Ia digunakan oleh mana-mana laman web yang perlu menjamin pengguna dan merupakan tulang belakang asas semua keselamatan di internet.


HTTPS juga semakin digunakan oleh laman web yang keselamatannya bukanlah keutamaan. Ini sebahagian besarnya membangkitkan keprihatinan terhadap privasi internet umum dan isu keselamatan berikutan pendedahan pemerhatian kerajaan massa Edward Snowden.

Projek-projek seperti Inisiatif Encrypt Let's EFF, program Encryption Everywhere Symantec dan Mozilla memilih untuk menyusutkan hasil carian yang tidak dijamin HTTPS, bagaimanapun, telah mempercepat penggunaan umum protokol.

Jadi apa yang dilakukan oleh HTTPS?

Apabila anda melawat laman web HTTP yang tidak selamat semua data dipindahkan tanpa diskriptif, jadi sesiapa sahaja yang menonton dapat melihat semua yang anda lakukan semasa melawat laman web tersebut (termasuk perkara-perkara seperti butiran transaksi anda semasa melakukan pembayaran dalam talian). Ia juga mungkin untuk mengubah data yang dipindahkan antara anda dan pelayan web.

Dengan HTTPS, pertukaran kunci kriptografi berlaku apabila anda mula-mula menyambung ke laman web, dan semua tindakan berikutnya di laman web disulitkan, dan oleh itu tersembunyi daripada mata yang bersuara. Ingat bahawa sesiapa yang menonton boleh melihat bahawa anda telah melawat laman web tertentu, tetapi tidak dapat melihat halaman individu yang anda baca, atau data lain yang dipindahkan semasa di laman web itu.

Sebagai contoh, laman web ProPrivacy dicagar menggunakan HTTPS. Dengan mengandaikan bahawa anda tidak menggunakan laman web ini membaca laman web ini ISP anda dapat melihat bahawa anda telah melawat proprivacy.com, tetapi tidak dapat melihat bahawa anda sedang membaca artikel tertentu ini.

Jika anda menggunakan VPN, maka pembekal VPN anda dapat melihat maklumat yang sama, tetapi yang baik akan menggunakan IP yang dikongsi sehingga ia tidak tahu mana dari banyak pengguna yang mengunjungi proprivacy.com, dan ia akan membuang semua log yang berkaitan dengan melawat pula.

Ambil perhatian bahawa HTTPS menggunakan penyulitan akhir-ke-hujung, jadi semua data yang lulus di antara komputer anda (atau telefon pintar, dsb.) Dan laman web tersebut disulitkan. Ini bermakna anda boleh mengakses laman web HTTPS dengan selamat walaupun disambungkan ke hotspot WiFi awam tanpa jaminan dan sebagainya.

Bagaimanakah saya tahu jika tapak web adalah selamat?

Sangat mudah untuk mengetahui jika tapak web yang anda lawati dilindungi oleh HTTPS:

  1. Secara keseluruhan, anda akan melihat ikon padlock dikunci ke kiri terdekat bar utama / URL Cari.
  2. Kebanyakan alamat web akan bermula dengan https: //. (Laman web tidak selamat bermula dengan http: //, tetapi https: // dan http: // sering tersembunyi.)

Laman web tidak selamat Firefox - tiada HTTPS

Laman web Chrome tidak selamat

Berikut adalah contoh laman web tidak selamat (Firefox dan Chrome). Perhatikan bahawa alamat web (URL) tidak bermula dengan https: dan tiada ikon padlock dipaparkan di sebelah kiri bar carian

Firefox laman web selamat

Chrome laman web selamat

Edge laman web selamat

Berikut adalah beberapa laman web HTTPS yang selamat di Firefox, Chrome, dan Microsoft Edge. Walaupun mereka semua kelihatan sedikit berbeza, kita dapat melihat dengan jelas ikon gembok tertutup di sebelah bar alamat di dalamnya. Perhatikan bahawa tidak seperti kebanyakan penyemak imbas, Edge tidak menunjukkan https: // pada permulaan URL. Anda juga akan melihat ikon itu boleh sama ada hijau atau kelabu ...

Apakah perbezaan antara ikon gembok hijau dan kelabu?

Jika ikon padlock ditunjukkan, maka laman web selamat. Sekiranya ikon hijau, bagaimanapun, ia menandakan bahawa laman web itu telah menyampaikan pelayar anda dengan Sijil Pengesahan Extended (EV). Ini bertujuan untuk mengesahkan bahawa sijil SSL yang dikemukakan adalah betul untuk domain dan nama domain tersebut adalah milik syarikat yang anda harapkan untuk memiliki laman web.

Secara teorinya, anda harus mempunyai kepercayaan yang lebih besar di laman web yang memaparkan padlock hijau. Walau bagaimanapun dalam amalan, sistem pengesahan boleh mengelirukan.

nwolb

Sebagai contoh, di UK, alamat perbankan dalam talian bank NatWest (www.nwolb.com) dijamin oleh EV yang dimiliki oleh pengamat biasa yang mungkin difikirkan sebagai pesaing jalan raya tinggi - Royal Bank of Scotland. Kecuali anda tahu bahawa NatWest dimiliki oleh RBS, ini boleh menyebabkan ketidakpercayaan Sijil, tidak kira sama ada penyemak imbas anda telah memberikan ikon hijau.

Kekeliruan juga boleh disebabkan oleh fakta bahawa pelayar yang berbeza kadang-kadang menggunakan kriteria yang berbeza untuk menerima Firefox dan Chrome, sebagai contoh, memaparkan padlock hijau ketika melawat Wikipedia.com, tetapi Microsoft Edge menunjukkan ikon kelabu.

Secara umumnya, akal fikiran perlu diguna pakai. Sekiranya anda melawat Google dan URLnya adalah www.google.com, maka anda pasti yakin bahawa domain itu milik Google, apa pun ikon padlock!

Ikon padlock lain

Anda juga mungkin menghadapi ikon padlock lain yang menggambarkan perkara seperti kandungan campuran (laman web hanya disulitkan sebahagiannya dan tidak menghalang penyaduran) dan sijil SSL yang buruk atau tamat tempoh. Laman web sedemikian adalah tidak selamat.

Maklumat tambahan

Dalam semua penyemak imbas, anda boleh mengetahui maklumat tambahan mengenai sijil SSL yang digunakan untuk mengesahkan sambungan HTTPS dengan mengklik ikon padlock.

HTTPS maklumat lanjut

Kebanyakan penyemak imbas membenarkan penggalian selanjutnya, dan juga melihat sijil SSL itu sendiri

Bagaimanakah HTTPS berfungsi??

Nama Protokol Pemindahan Hypertext (HTTP) pada asasnya menandakan unsecured standard (ia adalah protokol aplikasi yang membolehkan laman web disambungkan satu sama lain melalui hyperlink).

Halaman web HTTPS dicagar menggunakan penyulitan TLS, dengan algoritma pengesahan dan pengesahan oleh pelayan web.

Butiran TLS

Kebanyakan pelayar akan memberi anda maklumat tentang penyulitan TLS yang digunakan untuk sambungan HTTPS. Inilah enkripsi yang digunakan oleh ProPrivacy, seperti dipaparkan di Firefox. Maklumat lanjut mengenai banyak istilah yang digunakan boleh didapati di sini

Untuk merundingkan sambungan baru, HTTPS menggunakan Infrastruktur Kunci Awam X.509 (PKI), sistem penyulitan kunci asimetrik di mana pelayan web membentangkan kunci awam, yang disahsulit menggunakan kunci peribadi penyemak imbas. Untuk memastikan serangan menentang di tengah-tengah, X.509 menggunakan Sijil HTTPS - fail data kecil yang mengikat secara digital kunci kriptografi awam laman web kepada butiran organisasi.

Sijil HTTPS dikeluarkan oleh Pihak Berkuasa Sijil yang diiktiraf (CA) yang mengesahkan pemilikan kunci awam oleh subjek yang dinamakan sijil - yang bertindak dalam istilah kriptografi sebagai pihak ketiga yang dipercayai (TTP).

Sekiranya tapak web menunjukkan penyemak imbas anda sebagai sijil dari CA yang diiktiraf, penyemak imbas anda akan menentukan tapak itu sebagai tulen (menunjukkan ikon gembok tertutup). Dan seperti yang dinyatakan sebelum ini, Sijil Pengesahan Lanjutan (EVs) merupakan percubaan untuk meningkatkan kepercayaan dalam sijil SSL ini.

HTTPS Di mana-mana sahaja

Banyak laman web boleh digunakan tetapi tidak secara lalai. Dalam hal ini sering mungkin untuk mengaksesnya secara selamat dengan menggunakan alamat web mereka dengan https: // (bukan: //). Walau bagaimanapun, penyelesaian yang lebih baik adalah menggunakan HTTPS Di mana-mana sahaja.

Ini adalah pelanjutan pelayaran sumber terbuka dan terbuka yang dibangunkan oleh kerjasama antara dan Electronic Frontier Foundation. Setelah dipasang, HTTPS Everywhere menggunakan "teknologi pintar untuk menulis semula permintaan ke laman-laman ini ke HTTPS."

Sekiranya sambungan HTTPS tersedia, sambungan akan cuba menghubungkan anda dengan selamat ke laman web melalui HTTPS, walaupun ini tidak dilakukan secara lalai. Jika tiada sambungan HTTPS tersedia, anda akan menyambung melalui HTTP tanpa kerap biasa.

Dengan HTTPS Di mana sahaja anda memasang, anda akan menyambung ke banyak laman web yang lebih selamat, dan oleh itu kami sangat mengesyorkan memasangnya. HTTP Everywhere tersedia untuk Firefox (termasuk Firefox untuk Android), Chrome dan Opera.

Masalah dengan HTTPS

Sijil SSL palsu

Masalah terbesar dengan HTTPS adalah bahawa seluruh sistem bergantung pada web kepercayaan - kami mempercayai CA untuk hanya mengeluarkan sijil SSL ke pemilik domain yang diverifikasi. Walau bagaimanapun ...

Terdapat beberapa 1200 CA yang boleh menandatangani sijil untuk domain yang akan diterima oleh hampir mana-mana penyemak imbas. Walaupun menjadi CA melibatkan banyak formaliti (bukan hanya sesiapa sahaja yang boleh menetapkan diri mereka sebagai CA!), Mereka boleh (dan) bersandar oleh kerajaan (masalah terbesar), terancam oleh penjahat, atau digodam oleh penjenayah untuk mengeluarkan palsu sijil.

Ini bermakna:

  1. Dengan beratus-ratus Pihak Berkuasa Sijil, ia hanya memerlukan satu 'telur buruk' yang mengeluarkan sijil cerdik untuk menjejaskan keseluruhan sistem
  2. Sebaik sahaja sijil dikeluarkan, tidak ada cara untuk membatalkan sijil itu kecuali pembuat pelayar mengeluarkan kemas kini penuh penyemak imbas.

Jika pelayar anda melawat laman web yang dikompromikan dan dipaparkan dengan apa yang kelihatan seperti sijil HTTPS yang sah, ia akan memulakan apa yang difikirkannya adalah sambungan yang selamat, dan akan memaparkan padlock di URL.

Perkara yang menakutkan ialah hanya satu daripada 1200+ CA yang perlu dikompromi untuk penyemak imbas anda menerima sambungan itu. Oleh kerana artikel EFF ini dipatuhi,

Pendek kata: terdapat banyak cara untuk memecahkan HTTPS / TLS / SSL hari ini, walaupun laman web melakukan semua yang betul. Seperti yang sedang dilaksanakan, protokol keselamatan Web mungkin cukup baik untuk melindungi terhadap penyerang dengan masa dan motivasi yang terhad, tetapi mereka tidak mencukupi untuk dunia di mana pertandingan geopolitik dan perniagaan semakin dimainkan melalui serangan terhadap keselamatan sistem komputer.

Peter Eckersley

Malangnya, masalah ini jauh dari teori. Sama-sama malangnya, tiada penyelesaian umum yang diiktiraf, walaupun bersama-sama dengan EV, pinning kunci awam digunakan oleh kebanyakan laman web moden dalam usaha untuk menangani masalah ini.

Dengan kunci awam penyemakan pelayar mengaitkan host laman web dengan sijil HTTPS yang dijangkakan atau kunci awam (persatuan ini disandikan kepada tuan rumah), dan jika dibentangkan dengan sijil atau kunci yang tidak dijangka akan menolak untuk menerima sambungan dan mengeluarkan anda dengan amaran.

Yayasan Frontier Elektronik (EFF) juga memulakan projek Observatorium SSL dengan tujuan menyiasat semua sijil yang digunakan untuk menjamin internet, menjemput orang ramai untuk menghantarnya untuk analisis. Setakat yang saya sedar, bagaimanapun, projek ini tidak pernah benar-benar terlepas dan telah lain tidak aktif selama bertahun-tahun.

Analisis lalu lintas

Penyelidik telah menunjukkan bahawa analisa trafik boleh digunakan pada sambungan HTTPS untuk mengenal pasti halaman web individu yang dilawati oleh sasaran pada laman web HTTPS yang dijamin dengan ketepatan 89.

Walaupun bimbang, apa-apa analisis sedemikian akan menjadi serangan yang sangat disasarkan terhadap mangsa tertentu.

Kesimpulan HTTPS

Walaupun tidak sempurna (tetapi apa itu?), HTTPS adalah langkah keselamatan yang baik untuk laman web. Jika tidak, maka tidak ada satu bilion transaksi kewangan dan pemindahan data peribadi yang berlaku setiap hari di internet akan mungkin, dan internet itu sendiri (dan mungkin ekonomi dunia!) Akan runtuh semalaman.

Pelaksanaan HTTPS semakin menjadi standard di laman web yang bagus untuk kedua-duanya dan untuk privasi (kerana ia menjadikan pekerjaan NSA dan yang lebih sukar!).

Perkara utama yang perlu diingati ialah sentiasa memeriksa ikon padlock tertutup ketika melakukan apa-apa yang memerlukan keselamatan atau privasi di internet. Sekiranya anda menggunakan sambungan internet yang tidak selamat (seperti hotspot WiFi awam), anda masih boleh melayari web dengan selamat selagi anda hanya melayari laman web HTTPS yang disulitkan.

Jika untuk apa-apa sebab anda bimbang tentang tapak web, anda boleh menyemak sijil SSLnya untuk melihat apakah ia milik pemilik yang anda harapkan dari laman web itu.

TL adalah kerana terima kasih kepada HTTPS, anda boleh melayari laman web dengan selamat dan peribadi, yang bagus untuk ketenangan pikiran anda!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me