Noha az erős titkosítás a közelmúltban divatossá vált, a webhelyek az elmúlt 20 évben rendszeresen használnak teljes körű titkosítást. Végül is, ha a webhelyeket nem lehet nagyon biztonságossá tenni, akkor az online kereskedelem olyan formája nem lehetséges, mint például a vásárlás vagy a banki szolgáltatások. Az ehhez használt titkosítási protokoll a HTTPS, amely a HTTP Secure (vagy HTTP over SSL / TLS) kifejezést jelenti. Minden olyan webhely használ, amelynek biztonságot kell biztosítania a felhasználók számára, és az internetes biztonság alapvető gerince.


A HTTPS-t egyre inkább olyan webhelyek használják, amelyek biztonsága nem kiemelt prioritás. Ez nagyrészt az internet általános adatvédelmi és biztonsági kérdéseivel kapcsolatos fokozott aggodalom, Edward Snowden tömeges kormányzati megfigyeléseinek nyomán..

Az olyan projektek, mint például az EHA Let’s Encrypt kezdeményezés, a Symantec Encryption Everywhere program és a Mozilla úgy döntött, hogy lecsökkentik a nem HTTPS által biztosított keresési eredményeket, felgyorsították a protokoll általános elfogadását.

Tehát mit csinál a HTTPS??

Nem biztonságos HTTP webhely felkeresésekor az összes adat titkosítás nélkül kerül továbbításra, így mindenki, aki figyeli, láthatja mindazt, amit a webhely látogatásakor tesz (beleértve a tranzakció adatait, amikor online fizetést teljesít). Még megváltoztathatja az Ön és a webszerver között átadott adatokat.

A HTTPS használatával kriptográfiai kulcscsere történik, amikor először csatlakozik a webhelyhez, és a webhely minden későbbi művelete titkosítva van, és ezért el van rejtve a kíváncsiskodó szemektől. Ne feledje, hogy bárki, aki néz, láthatja, hogy meglátogatott egy bizonyos weboldalt, de nem látja, hogy mely oldalakat olvasta, vagy bármilyen más adatot továbbított, amely ezen a webhelyen tartózkodik.

Például a ProPrivacy webhelyet a HTTPS biztosítja. Feltételezve, hogy egy ideig nem használja ezt a weboldalt, az internetszolgáltató láthatja, hogy meglátogatta a proprivacy.com webhelyet, de nem láthatja, hogy ezt a cikket olvassa el..

Ha VPN-t használ, akkor a VPN szolgáltatója láthatja ugyanazt az információt, de egy jó megosztott IP-ket fog használni, tehát nem tudja, hogy sok felhasználója közül melyik látogatta meg a proprivacy.com webhelyet, és eldobja az összes naplót, amely a egyébként látogasson el.

Vegye figyelembe, hogy a HTTPS végpontok közötti titkosítást használ, tehát minden adat, amely a számítógép (vagy okostelefon stb.) És a webhely között továbbad, titkosítva van. Ez azt jelenti, hogy biztonságosan elérheti a HTTPS webhelyeket, még akkor is, ha nem biztonságos nyilvános WiFi hotspotokhoz és hasonlókhoz kapcsolódik.

Honnan tudhatom, hogy egy webhely biztonságos-e?

Könnyű megmondani, hogy a meglátogatott webhelyet a HTTPS biztosítja-e:

  1. Mindent egybevetve egy bezárt lakat ikont fog látni a fő URL / keresősáv bal oldalán, közvetlenül a bal oldalon.
  2. A legtöbb esetben a webcím a következővel kezdődik: https: //. (A nem biztonságos webhelyek a http: // betűvel kezdődnek, de a https: // és a http: // mindkettőt gyakran elrejtik.)

Nem biztonságos webhely Firefox - nincs HTTPS

Nem biztonságos webhely a Chrome

Íme néhány példa a nem biztonságos webhelyekre (Firefox és Chrome). Vegye figyelembe, hogy a webcímek (URL-ek) nem a következővel kezdődnek: https: és hogy a keresősáv bal oldalán nem jelenik meg lakat ikon

Biztonságos webhely Firefox

Biztonságos webhely a Chrome

Biztonságos weboldal Edge

Íme néhány biztonságos HTTPS-webhely a Firefoxban, a Chrome-ban és a Microsoft Edge-ben. Bár mindegyikük kissé eltérő, mindegyikben egyértelműen láthatjuk a zárt lakat ikont a címsor mellett. Vegye figyelembe, hogy a legtöbb böngészővel ellentétben az Edge nem jeleníti meg a https: // -et az URL elején. Azt is észreveszi, hogy az ikon zöld vagy szürke is lehet ...

Mi a különbség a zöld és a szürke lakatikonok között?

Ha lakat ikon jelenik meg, akkor a webhely biztonságos. Ha az ikon zöld, azonban azt jelzi, hogy a webhely kiterjesztett érvényesítési tanúsítvánnyal (EV) mutatta be a böngészőjét. Ezek célja annak ellenőrzése, hogy a bemutatott SSL tanúsítvány helyes-e a domainhez, és hogy a domain név annak a vállalatnak a tulajdonában van, amelyre számíthat a webhely tulajdonosaként..

Elméletben tehát nagyobb bizalommal kell számolni a zöld lakat mutató webhelyekkel szemben. A gyakorlatban azonban az érvényesítési rendszer zavaró lehet.

nwolb

Például az Egyesült Királyságban a NatWest bank online banki címét (www.nwolb.com) egy EV biztosítja, amely az alkalmi megfigyelő által utcai versenytársnak gondolható - a Royal Bank of Scotland. Hacsak nem tudja, hogy a NatWest az RBS tulajdonában van, ez bizalmatlanságot okozhat a Tanúsítványban, függetlenül attól, hogy böngészője zöld ikont adott-e neki.

A zavart az is okozhatja, hogy a különböző böngészők néha eltérő kritériumokat használnak a Firefox és a Chrome elfogadására, például egy zöld lakat jelenítenek meg a Wikipedia.com webhely felkeresésekor, a Microsoft Edge pedig egy szürke ikont jelenít meg..

Általában a józan észnek kell érvényesülnie. Ha ellátogat a Google-ba, és az URL www.google.com, akkor biztos lehet benne, hogy a domain a Google-hoz tartozik, függetlenül a lakat ikonjától!

Egyéb lakat ikonok

Találkozhat más olyan lakat ikonokkal is, amelyek jelölik a vegyes tartalmat (a webhely csak részben titkosítva és nem akadályozza meg a lehallgatást), valamint a rossz vagy lejárt SSL tanúsítványokat. Ilyen webhelyek vannak nem biztonságos.

További információ

Az összes böngészőben további információkat találhat a HTTPS-kapcsolat érvényesítéséhez használt SSL-tanúsítványról az lakat ikonra kattintva.

HTTPS további információ

A legtöbb böngésző engedi tovább ásni, sőt maga az SSL tanúsítványt is megnézheti

Hogyan működik a HTTPS??

A Hypertext Transfer Protocol (HTTP) név alapvetően a nem biztonságos szabványokat jelöli (az alkalmazás protokollja teszi lehetővé, hogy a weboldalak hiperlinkek útján kapcsolódjanak egymáshoz)..

A HTTPS weboldalakat TLS titkosítással védik, a hitelesítési algoritmusokkal a webszerver határozza meg.

TLS részletek

A legtöbb böngésző részleteket nyújt a HTTPS kapcsolatokhoz használt TLS titkosításról. Ez a ProPrivacy által használt titkosítás, ahogy a Firefoxban megjelenik. További információ a sok használt kifejezésről itt található

Új kapcsolat megtárgyalására a HTTPS az X.509 nyilvános kulcsú infrastruktúrát (PKI) használja, egy aszimmetrikus kulcs titkosító rendszerrel, ahol a webszerver bemutat egy nyilvános kulcsot, amelyet a böngésző privát kulcsával dekódoltak. Annak érdekében, hogy elkerüljék a középtávú támadást, az X.509 HTTPS tanúsítványokat használ - kisméretű adatfájlokat, amelyek digitálisan megkötik a weboldal nyilvános kriptográfiai kulcsát a szervezet adataihoz..

A HTTPS tanúsítványt egy elismert tanúsító hatóság (CA) állítja ki, amely igazolja a tanúsítvány megnevezett alanyának egy nyilvános kulcs tulajdonjogát - rejtjelezési szempontból megbízható harmadik félként (TTP).

Ha egy webhely megjeleníti a böngészőjében egy elismert CA tanúsítványát, akkor a böngésző fogja meghatározni, hogy a webhely valódi-e (a egy zárt lakat ikont mutat). És ahogy korábban megjegyeztük, a kibővített érvényesítési tanúsítványok (EV) megkísérlik javítani az SSL-tanúsítványokba vetett bizalmat.

HTTPS mindenhol

Számos webhely használhat, de alapértelmezés szerint nem. Ilyen esetekben gyakran lehet biztonságosan hozzáférni hozzájuk, egyszerűen azáltal, hogy webhelyükhöz előtagot írnak a https: // (nem: //) paranccsal. Sokkal jobb megoldás azonban a HTTPS visur használata.

Ez egy ingyenes és nyílt forráskódú böngésző-bővítmény, amelyet az Electronic Frontier Foundation együttműködésével fejlesztettek ki. A telepítés után a HTTPS Everywhere „okos technológiát használ az ezen webhelyekre irányuló kérelmek HTTPS-re történő átírásához”.

Ha rendelkezésre áll HTTPS kapcsolat, akkor a bővítmény megpróbálja biztonságosan csatlakozni a webhelyhez a HTTPS-en keresztül, még akkor is, ha ezt alapértelmezés szerint nem hajtja végre. Ha egyáltalán nem érhető el HTTPS kapcsolat, akkor a rendszeres nem biztonságos HTTP-n keresztül fog csatlakozni.

A telepített HTTPS mindenhol biztonságosan csatlakozik még sok más webhelyhez, ezért mi erősen ajánlom telepítése. A HTTP Mindenhol elérhető a Firefox (beleértve a Firefox for Android), a Chrome és az Opera számára.

Probléma a HTTPS-rel

Hamis SSL tanúsítványok

A HTTPS legnagyobb problémája az, hogy az egész rendszer megbízhatósági hálózaton alapszik - bízunk benne, hogy a CA-k csak az ellenőrzött domain tulajdonosok számára adnak ki SSL tanúsítványokat. Azonban…

Létezik mintegy 1200 hitelesítésszolgáltató, amely aláírhatja a tanúsítványokat olyan domainekhez, amelyeket szinte bármely böngésző elfogad. Noha a CA-ként számos alaki követelményt kell elvégezni (nem csak bárki állíthatja be magát CA-ként!), A kormányok rá tudnak kérni (és vannak) (a legnagyobb probléma), csalók megfélemlíthetik őket, vagy a bűnözők megtámadhatják, hogy hamis adatokat tegyenek közzé. tanúsítványok.

Ez azt jelenti:

  1. A több száz tanúsító hatóságnál csak egy „rossz tojás” kiadásával jár, ha a bizonytalan tanúsítványokat kiállítja, hogy veszélyeztesse az egész rendszert
  2. Miután kiadták a tanúsítványt, nincs mód arra, hogy visszavonja azt, kivéve, ha a böngésző gyártója kiadja a böngésző teljes frissítését.

Ha böngészője meglátogatott webhelyet látogat meg, és egy érvényes HTTPS-tanúsítvánnyal rendelkezőnek mutatkozik meg, akkor elindítja azt, amelyet biztonságosnak tart, és lakatot mutat az URL-ben.

Félelmetes dolog az, hogy az 1200+ hitelesítésszolgáltatók közül csak egynek veszélyeztetnie kell, hogy böngészője elfogadja a kapcsolatot. Amint ez az EHA cikk megjegyzi,

Röviden: a HTTPS / TLS / SSL megtörésére ma sokféleképpen van lehetőség, még akkor is, ha a webhelyek mindent jól csinálnak. A jelenlegi megvalósításuk szerint a web biztonsági protokolljai elég jók lehetnek a korlátozott ideig és motivációval járó támadókkal szembeni védelemhez, ám ezek nem megfelelőek egy olyan világ számára, ahol a geopolitikai és üzleti versenyeket egyre inkább a számítógépes rendszerek biztonsága elleni támadások révén játsszák..

Peter Eckersley

Sajnos ez a probléma messze nem elméleti. Ugyanígy sajnos nem létezik általánosan elismert megoldás, bár az EV-kkel együtt a legtöbb modern webhely nyilvános kulcs-rögzítést alkalmaz a probléma megoldására..

Nyilvános kulcs rögzítésével a böngésző társítja a webhely gazdagépet a várható HTTPS tanúsítvánnyal vagy nyilvános kulcsmal (ez a társítás „rögzítve van” a gazdagéphez), és ha váratlan tanúsítvánnyal vagy kulccsal mutatják be, akkor megtagadja a kapcsolat elfogadását, és egy Figyelem.

Az Electronic Frontier Foundation (EFF) szintén elindított egy SSL-megfigyelőközpontot azzal a céllal, hogy megvizsgálja az internet biztonságához használt összes tanúsítványt, és felkérte a nyilvánosságot, hogy tanúsítványokat küldjön elemzésre. Amennyire tudom, ez a projekt soha nem ment le és évek óta nem működik.

Forgalom elemzése

A kutatók kimutatták, hogy a forgalom elemzése felhasználható a HTTPS kapcsolatokra a HTTPS által biztosított webhelyek 89 pontosságú, a cél által meglátogatott egyes weboldalak azonosításához..

Bár aggasztó, minden ilyen elemzés egy konkrét áldozat ellen célzott támadást jelentene.

HTTPS következtetés

Bár nem tökéletes (de mi az?), A HTTPS jó biztonsági intézkedés a webhelyek számára. Ha nem lett volna, akkor az interneten mindennapi pénzügyi tranzakciók és személyes adatok átadása nem lehetséges, és maga az internet (és esetleg a világgazdaság!) Egy éjszaka összeomlik..

Az, hogy a HTTPS végrehajtása egyre inkább szabványossá válik a weboldalakon, nagyszerű mind a magánélet, mind a magánélet szempontjából (mivel ez megnehezíti az NSA és az annak munkáját!).

A legfontosabb dolog, amit emlékezzünk, mindig ellenőrizze, hogy van-e zárt lakat ikon, ha bármi olyat csinál, amely biztonságot vagy adatvédelmet igényel az interneten. Ha nem biztonságos internetkapcsolatot (például nyilvános WiFi hotspotot) használ, akkor továbbra is biztonságosan böngészhet az interneten, mindaddig, amíg csak a HTTPS titkosított webhelyeket látogatja meg..

Ha valamilyen ok miatt aggódik egy webhely miatt, ellenőrizze annak SSL-tanúsítványát, hogy megtudja, tartozik-e a tulajdonoshoz, amelyet elvárhat a webhelyről.

A TL az, hogy a HTTPS-nek köszönhetően biztonságosan és privát módon böngészhet a weboldalakon, ami nagyszerű a nyugalma szempontjából!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me