Čeprav je močno šifriranje v zadnjem času postalo v trendu, spletna mesta že zadnjih 20 let rutinsko uporabljajo močno šifriranje od konca do konca. Konec koncev, če spletnih strani ne bi bilo mogoče zagotoviti zelo varnih, potem nobena oblika spletnega poslovanja, kot je nakupovanje ali bančništvo, ne bi bila mogoča. Za to uporablja šifrirni protokol HTTPS, kar pomeni HTTP Secure (ali HTTP prek SSL / TLS). Uporablja ga katero koli spletno mesto, ki mora zaščititi uporabnike in je temeljna osnova vse varnosti na internetu.


HTTPS se vse pogosteje uporabljajo tudi na spletnih mestih, pri katerih varnost ni glavna prednostna naloga. To je v veliki meri zaskrbljeno zaradi splošnih internetnih zasebnosti in varnostnih vprašanj po množičnih razkritjih vladnega nadzora Edwarda Snowdena.

Projekti, kot so pobuda EFF's Encrypt, program Symantec Encryption Everywhere in Mozilla, ki se odločijo za amortizacijo rezultatov iskanja, ki niso zavarovani s HTTPS, so pospešili splošno sprejetje protokola.

Torej, kaj počne HTTPS?

Ko obiščete nezaščiteno spletno mesto HTTP, se vsi podatki prenesejo nezašifrirano, zato lahko vsak, ki gleda, vidi vse, kar počnete med obiskom tega spletnega mesta (vključno s tistimi, kot so podatki o transakcijah, pri plačevanju prek spleta). Mogoče je celo spremeniti podatke, ki se prenašajo med vami in spletnim strežnikom.

Pri HTTPS pride do zamenjave kriptografskih ključev, ko se prvič povežete s spletnim mestom, vsa nadaljnja dejanja na spletnem mestu pa so šifrirana in zato skrita pred radovednimi očmi. Upoštevajte, da vsak, ki gleda, lahko vidi, da ste obiskali določeno spletno mesto, vendar ne more videti, katere posamezne strani ste prebrali ali katere druge podatke, ki so bili preneseni na tem spletnem mestu.

Na primer, spletno mesto ProPrivacy je zavarovano s HTTPS. Ob predpostavki, da ne uporabljate nekaj časa, ko berete to spletno stran, lahko vaš ISP vidi, da ste obiskali proprivacy.com, vendar ne more videti, da berete ta članek.

Če uporabljate VPN, potem lahko vaš ponudnik VPN vidi iste podatke, vendar bo dober uporabljal skupne IP-je, tako da ne ve, kdo od številnih uporabnikov je obiskal proprivacy.com, in bo zavrgel vse dnevnike v zvezi z obiskati vseeno.

Upoštevajte, da HTTPS uporablja šifriranje od konca do konca, zato so vsi podatki, ki potekajo med računalnikom (ali pametnim telefonom itd.) In tem spletnim mestom, šifrirani. To pomeni, da lahko varno dostopate do spletnih strani HTTPS, tudi če ste povezani z nezaščitenimi dostopnimi točkami WiFi in podobno.

Kako vem, ali je spletno mesto varno?

Lahko je ugotoviti, ali je spletno mesto, ki ga obiščete, zavarovano s HTTPS:

  1. Na levi strani glavnega naslova URL / iskalna vrstica boste videli ikono zaklenjenega ključavnice.
  2. V večini se bo spletni naslov začel s https: //. (Nezavarovana spletna mesta se začnejo z http: //, vendar sta obe https: // in http: // pogosto skriti.)

Nezavarovano spletno mesto Firefox - brez HTTPS

Nezavarovano spletno mesto Chrome

Tu so primeri nezavarovanih spletnih mest (Firefox in Chrome). Upoštevajte, da se spletni naslovi (URL-ji) ne začnejo s https: in da se na levi strani iskalne vrstice ne prikaže nobena ikona ključavnice

Zavarovano spletno mesto Firefox

Zaščiteno spletno mesto Chrome

Zavarovana spletna stran Edge

Tu je nekaj varnih spletnih mest HTTPS v Firefoxu, Chromu in Microsoft Edgeu. Čeprav so vsi videti nekoliko drugače, je v naslovu jasno vidna ikona zaprtega ključavnice poleg naslovne vrstice. Upoštevajte, da za razliko od večine brskalnikov Edge na začetku URL-ja ne prikaže https: //. Opazili boste tudi, da je ikona lahko zelena ali siva ...

Kakšna je razlika med zelenimi in sivimi ikonami ključavnic?

Če je prikazana ikona ključavnice, je spletno mesto varno. Če pa je ikona zelena, pomeni, da je spletno mesto brskalniku predstavilo razširjeno potrdilo o potrditvi (EV). Namenjeni so preverjanju, ali je predstavljeni SSL certifikat pravilen za domeno in ali domensko ime pripada podjetju, za katerega bi pričakovali, da je lastnik spletnega mesta.

Teoretično bi torej morali imeti večje zaupanje v spletna mesta, ki prikazujejo zeleno omarico. V praksi pa je sistem potrjevanja lahko zmeden.

nwolb

Na primer, v Združenem kraljestvu je naslov spletnega bančništva banke NatWest (www.nwolb.com) zavarovan z EV-jem, ki pripada tistemu, kar bi si priložnostni opazovalec lahko zamislil kot visoko ulični tekmec - Royal Bank of Scotland. Če ne veste, da je NatWest v lasti RBS, bi to lahko povzročilo nezaupanje v Potrdilo, ne glede na to, ali vam je brskalnik dodal zeleno ikono.

Zmedo lahko povzroči tudi dejstvo, da različni brskalniki včasih uporabljajo različna merila za sprejemanje Firefoxa in Chroma, na primer pri obisku Wikipedia.com prikažejo zeleno ključavnico, vendar Microsoft Edge prikazuje sivo ikono.

Na splošno bi moral prevladati zdrav razum. Če obiščete Google in je URL www.google.com, ste lahko prepričani, da domena pripada Googlu, ne glede na ikono ključavnice!

Druge ikone ključavnice

Naletite lahko tudi na druge ikone zaklepanja, ki označujejo stvari, kot je mešana vsebina (spletno mesto je le delno šifrirano in ne preprečuje prisluškovanja) ter slabe ali pretečene SSL certifikate. Takšna spletna mesta so ni varen.

Dodatne informacije

V vseh brskalnikih najdete dodatne informacije o SSL certifikatu, ki se uporablja za preverjanje povezave HTTPS, s klikom na ikono ključavnice.

HTTPS več informacij

Večina brskalnikov omogoča nadaljnje kopanje in celo sam pregled SSL certifikata

Kako HTTPS dejansko deluje?

Ime Hypertext Transfer Protocol (HTTP) v osnovi označuje standardno nezavarovano (protokol aplikacije omogoča spletnim stranem povezavo med seboj preko hiperpovezav).

Spletne strani HTTPS so zavarovane s šifriranjem TLS, z algoritmi in preverjanjem pristnosti, ki jih določi spletni strežnik.

Podrobnosti TLS

Večina brskalnikov vam bo dala podrobnosti o šifriranju TLS, ki se uporablja za povezave HTTPS. To je šifriranje, ki ga uporablja ProPrivacy, kot je prikazano v Firefoxu. Več informacij o številnih uporabljenih izrazih najdete tukaj

Za pogajanja o novi povezavi HTTPS uporablja X.509 infrastrukturo javnega ključa (PKI), asimetrični sistem šifriranja ključev, kjer spletni strežnik predstavlja javni ključ, ki je dešifriran z uporabo zasebnega ključa brskalnika. Za zaščito pred napadom "sredi" X.509 uporablja potrdila HTTPS - majhne podatkovne datoteke, ki digitalno vežejo javni kriptografski ključ spletnega mesta na podrobnosti organizacije.

Potrdilo HTTPS izda priznani organ za potrjevanje (CA), ki potrdi lastništvo javnega ključa s strani imenovanega predmeta certifikata - deluje v kriptografskem smislu kot zaupanja vredna tretja oseba (TTP).

Če spletno mesto pokaže vaš brskalnik potrdilo priznanega CA, bo vaš brskalnik določil spletno mesto kot pristno (prikazuje ikono zaprtega ključavnice). Kot že omenjeno, so razširjena potrdila o potrditvi (EV) poskus izboljšanja zaupanja v te SSL certifikate.

HTTPS Povsod

Mnoga spletna mesta lahko uporabljajo, privzeto pa ne. V takšnih primerih je do njih pogosto mogoče varno dostopati preprosto s predpono njihovega spletnega naslova s ​​https: // (namesto: //). Veliko boljša rešitev pa je uporaba HTTPS Everywhere.

To je brezplačna in odprtokodna razširitev brskalnika, razvita s sodelovanjem med Fundacijo Electronic Frontier. Po namestitvi HTTPS Everywhere uporablja "pametno tehnologijo za prepisovanje zahtev na ta spletna mesta na HTTPS."

Če je na voljo povezava HTTPS, vas bo razširitev poskušala varno povezati s spletnim mestom prek HTTPS, tudi če to ni privzeto izvedeno. Če povezava HTTPS sploh ni na voljo, se boste povezali prek običajnega nesigurnega HTTP-ja.

Z nameščenim HTTPS Everywhere se boste varno povezali na več drugih spletnih mest, zato smo toplo priporočam namestitev. HTTP Povsod je na voljo za Firefox (vključno z Firefoxom za Android), Chrome in Opera.

Težave s HTTPS

Lažni SSL potrdila

Največja težava HTTPS je, da se celoten sistem opira na splet zaupanja - CA-jem zaupamo, da izdajajo SSL potrdila samo preverjenim lastnikom domen. Vendar…

Obstaja približno 1200 CA-jev, ki lahko podpišejo potrdila za domene, ki jih bo sprejel skoraj kateri koli brskalnik. Čeprav postaja CA vključena v številne formalnosti (ne le kdo se lahko postavi kot CA!), Jih lahko vlade (in so na njih) naslanjajo (največji problem), ustrahujejo prevarante ali pa jih kriminalci preganjajo, da bi lažno izdali potrdila.

To pomeni da:

  1. Pri stotinah pooblaščenih organov je potrebno samo eno „slabo jajce“, ki izda potrdila, da ogrozi celoten sistem
  2. Ko je potrdilo izdano, ni mogoče preklicati tega potrdila, razen če proizvajalec brskalnika izda popolno posodobitev brskalnika.

Če vaš brskalnik obišče ogroženo spletno mesto in mu je predstavljeno, kot je videti veljavno potrdilo HTTPS, bo sprožil, kar se mu zdi varna povezava, in v URL-ju bo prikazal ključavnico..

Strašljivo je, da mora biti eden od 1200+ CA-jev ogrožen, da vaš brskalnik sprejme povezavo. Kot ugotavlja ta članek o ESR,

Skratka: danes obstaja veliko načinov za prelom HTTPS / TLS / SSL, tudi če spletna mesta vse naredijo prav. Kot je trenutno implementirano, so varnostni protokoli spleta morda dovolj dobri za zaščito pred napadalci z omejenim časom in motivacijo, vendar so neprimerni za svet, v katerem se geopolitični in poslovni tekmovanja vse pogosteje izvajajo z napadi na varnost računalniških sistemov.

Peter Eckersley

Žal ta problem še zdaleč ni teoretičen. Na žalost ni nobenih splošno priznanih rešitev, čeprav skupaj z EV-ji na večini sodobnih spletnih strani pripomore javni ključ, da bi se lotili tega vprašanja..

Z brskanjem z javnim ključem brskalnik povezuje gostitelja spletnega mesta s svojim pričakovanim HTTPS certifikatom ali javnim ključem (ta povezava je "pripeta" na gostitelja) in če mu je priloženo nepričakovano potrdilo ali ključ, zavrne sprejetje povezave in vam izda Opozorilo.

Fundacija Electronic Frontier (EFF) je začela tudi projekt SSL Observatory z namenom preiskati vsa potrdila, ki se uporabljajo za varovanje interneta, in javnost povabila, da ji pošlje potrdila v analizo. Kolikor se zavedam, pa se ta projekt v resnici ni končal in že leta miruje.

Analiza prometa

Raziskovalci so pokazali, da je mogoče s prometno analizo prometa na povezavah HTTPS prepoznati posamezne spletne strani, ki jih obišče cilj na spletnih mestih, zavarovanih s HTTPS, z natančnostjo 89.

Čeprav je zaskrbljujoča, bi vsaka takšna analiza pomenila zelo usmerjen napad na določeno žrtev.

Zaključek HTTPS

Čeprav ni popoln (a kaj je?), Je HTTPS dober varnostni ukrep za spletna mesta. Če ne bi bilo tega, potem ne bi bil mogoč noben od milijard finančnih transakcij in prenosov osebnih podatkov, ki se vsak dan dogajajo na internetu, sam internet (in morda tudi svetovno gospodarstvo!) Bi se čez noč zrušil.

Da je implementacija HTTPS vse bolj standardna na spletnih straneh, je odlična tako za zasebnost kot za zasebnost (saj delo NSA in njenega dela precej otežuje!).

Glavna stvar, ki jo je treba zapomniti, je, da vedno preverite, ali je na ikoni zaprtega ključavnice, ko počnete karkoli, kar zahteva varnost ali zasebnost v internetu. Če uporabljate negotovo internetno povezavo (na primer javno dostopno točko WiFi), lahko še vedno varno brskate po spletu, dokler obiščete samo šifrirana spletna mesta HTTPS..

Če vas iz katerega koli razloga skrbi spletno mesto, lahko preverite njegovo SSL potrdilo, ali lahko preverite, ali pripada lastniku, ki bi ga pričakovali od tega spletnega mesta.

TL je v tem, da zahvaljujoč HTTPS lahko varno in zasebno brskate po spletnih straneh, kar je super za vaš duševni mir!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me