Kaut arī spēcīga šifrēšana pēdējā laikā ir kļuvusi moderna, vietnes pēdējos 20 gadus regulāri izmanto spēcīgu šifrēšanu. Galu galā, ja tīmekļa vietnes nevarētu padarīt ļoti drošas, tad nebūtu iespējams tāds tiešsaistes komercijas veids kā iepirkšanās vai banku darbība. Šifrēšanas protokols, ko tam izmanto, ir HTTPS, kas apzīmē HTTP Secure (vai HTTP over SSL / TLS). To izmanto jebkura vietne, kurai ir jānodrošina lietotāju drošība, un tā ir visas drošības pamatā internetā.

HTTPS arvien vairāk izmanto arī vietnēs, kuru drošība nav galvenā prioritāte. Lielā mērā tas rada paaugstinātas bažas par vispārējiem interneta privātuma un drošības jautājumiem pēc Edvarda Snidena masveida valdības novērošanas atklājumiem.

Tādi projekti kā EZF iniciatīva Let’s Encrypt, Symantec programma Encryption visur visur un Mozilla, izvēloties nolietot ne HTTPS drošos meklēšanas rezultātus, tomēr ir paātrinājuši protokola vispārēju pieņemšanu.

Tātad, ko dara HTTPS?

Apmeklējot nedrošu HTTP vietni, visi dati tiek pārsūtīti nešifrēti, tāpēc ikviens, kurš skatās, var redzēt visu, ko darāt, apmeklējot šo vietni (ieskaitot tādas lietas kā jūsu darījuma dati, veicot maksājumus tiešsaistē). Ir pat iespējams mainīt datus, kas pārsūtīti starp jums un Web serveri.

Izmantojot HTTPS, kriptogrāfisko atslēgu apmaiņa notiek, kad pirmo reizi izveidojat savienojumu ar vietni, un visas turpmākās vietnes darbības tiek šifrētas un tādējādi paslēptas no ziņkārīgo acīm. Ņemiet vērā, ka ikviens, kurš skatās, var redzēt, ka esat apmeklējis noteiktu vietni, bet nevar redzēt, kuras atsevišķās lapas jūs lasāt, vai citus datus, kas pārsūtīti, atrodoties šajā vietnē.


Piemēram, vietne ProPrivacy ir nodrošināta, izmantojot HTTPS. Pieņemot, ka jūs kādu laiku neizmantojat šīs tīmekļa lapas lasīšanu, jūsu interneta pakalpojumu sniedzējs var redzēt, ka esat apmeklējis vietni proprivacy.com, bet nevarat redzēt, ka lasāt šo konkrēto rakstu.

Ja jūs izmantojat VPN, tad jūsu VPN sniedzējs var redzēt to pašu informāciju, bet labs izmantos koplietotus IP, tāpēc tas nezina, kurš no daudzajiem lietotājiem apmeklēja vietni proprivacy.com, un tas izmetīs visus žurnālus, kas saistīti ar apmeklējiet jebkurā gadījumā.

Ņemiet vērā, ka HTTPS izmanto tiešu šifrēšanu, tāpēc visi dati, kas pārvietojas starp jūsu datoru (vai viedtālruni utt.) Un šo vietni, tiek šifrēti. Tas nozīmē, ka jūs varat droši piekļūt HTTPS vietnēm pat tad, ja ir izveidots savienojums ar nenodrošinātiem publiskiem WiFi karstajiem punktiem un tamlīdzīgi.

Kā es varu zināt, vai vietne ir droša?

Ir viegli pateikt, vai vietni, kuru apmeklējat, nodrošina HTTPS:

  1. Kopumā galvenās URL / meklēšanas joslas kreisajā pusē redzēsit bloķētu piekaramās atslēgas ikonu.
  2. Vairumā gadījumu tīmekļa adrese sāksies ar https: //. (Neaizsargātas vietnes sākas ar http: //, bet gan https: //, gan http: // bieži tiek paslēptas.)

Nenodrošināta vietne Firefox - nav HTTPS

Nenodrošināta vietne Chrome

Šeit ir nenodrošinātu vietņu (Firefox un Chrome) piemēri. Ņemiet vērā, ka tīmekļa adreses (URL) nesākas ar https: un ka meklēšanas joslas kreisajā pusē netiek parādīta piekaramās atslēgas ikona

Droša vietne Firefox

Drošā vietne Chrome

Droša vietne Edge

Šeit ir dažas drošas HTTPS vietnes Firefox, Chrome un Microsoft Edge. Lai arī tie visi izskatās nedaudz atšķirīgi, visās tajās blakus adrešu joslai var skaidri redzēt aizvērtu piekaramās atslēgas ikonu. Ņemiet vērā, ka atšķirībā no vairuma pārlūkprogrammu, Edge URL sākumā neuzrāda https: //. Jūs arī pamanīsit, ka ikona var būt zaļa vai pelēka.

Kā atšķiras zaļās un pelēkās piekaramās slēdzenes ikonas?

Ja tiek parādīta piekaramās atslēgas ikona, vietne ir droša. Tomēr, ja ikona ir zaļa, tā norāda, ka vietne jūsu pārlūkprogrammai ir uzrādījusi paplašinātu validācijas sertifikātu (EV). Tie ir paredzēti, lai pārbaudītu, vai uzrādītais SSL sertifikāts ir pareizs domēnam un vai domēna vārds pieder uzņēmumam, kuram, jūsuprāt, piederēs vietne.

Tad teorētiski jums vajadzētu vairāk uzticēties vietnēm, kurās ir zaļa piekaramā atslēga. Tomēr praksē vērtēšanas sistēma var būt mulsinoša.

nwolb

Piemēram, Lielbritānijā NatWest bankas tiešsaistes bankas adresi (www.nwolb.com) nodrošina EV, kas pieder tam, ko gadījuma novērotājs varētu domāt par konkurentu uz lielceļa - Skotijas Karaliskajai bankai. Ja vien jūs nezināt, ka NatWest pieder RBS, tas var izraisīt neuzticēšanos sertifikātam neatkarīgi no tā, vai jūsu pārlūkprogramma tam ir piešķīrusi zaļu ikonu.

Apjukumu var izraisīt arī tas, ka dažādas pārlūkprogrammas dažreiz izmanto atšķirīgus kritērijus Firefox un Chrome pieņemšanai, piemēram, apmeklējot vietni Wikipedia.com, parāda zaļu piekaramo atslēgu, bet Microsoft Edge rāda pelēku ikonu.

Kopumā būtu jādod virsroka veselajam saprātam. Ja apmeklējat Google un URL ir www.google.com, varat būt pārliecināts, ka domēns pieder uzņēmumam Google neatkarīgi no piekaramās atslēgas ikonas!

Citas piekaramās atslēgas ikonas

Jūs varat sastapties arī ar citām piekaramās atslēgas ikonām, kas apzīmē tādas lietas kā jaukts saturs (vietne ir tikai daļēji šifrēta un neaizkavē noklausīšanos) un sliktiem vai beidzies SSL sertifikātiem. Šādas vietnes ir nav drošs.

Papildus informācija

Visos pārlūkos varat uzzināt papildinformāciju par SSL sertifikātu, ko izmanto HTTPS savienojuma validēšanai, noklikšķinot uz piekaramās atslēgas ikonas.

HTTPS vairāk informācijas

Lielākā daļa pārlūkprogrammu ļauj rakt tālāk un pat apskatīt pašu SSL sertifikātu

Kā faktiski darbojas HTTPS??

Nosaukums Hiperteksta pārsūtīšanas protokols (HTTP) būtībā apzīmē standarta nenodrošinātu (tas ir lietojumprogrammas protokols, kas ļauj tīmekļa lapām izveidot savienojumu ar otru, izmantojot hipersaites)..

HTTPS tīmekļa lapas tiek aizsargātas, izmantojot TLS šifrēšanu, un autentifikācijas algoritmus nosaka Web serveris.

TLS informācija

Lielākā daļa pārlūkprogrammu sniegs jums detalizētu informāciju par TLS šifrēšanu, ko izmanto HTTPS savienojumiem. Šī ir šifrēšana, ko izmanto ProPrivacy, kā parādīts pārlūkprogrammā Firefox. Plašāku informāciju par daudziem lietotajiem terminiem var atrast šeit

Lai risinātu sarunas par jaunu savienojumu, HTTPS izmanto X.509 publiskās atslēgas infrastruktūru (PKI) - asimetriskas atslēgas šifrēšanas sistēmu, kurā tīmekļa serveris uzrāda publisko atslēgu, kas tiek atšifrēta, izmantojot pārlūka privāto atslēgu. Lai izvairītos no vidēja uzbrukuma, X.509 izmanto HTTPS sertifikātus - mazus datu failus, kas vietnes publisko šifrēšanas atslēgu digitāli sasaista ar organizācijas informāciju.

HTTPS sertifikātu izsniedz atzīta sertifikātu iestāde (CA), kas sertifikāta nosauktajam subjektam apliecina publiskās atslēgas īpašumtiesības - kriptogrāfiski rīkojoties kā uzticama trešā puse (TTP)..

Ja vietne parāda jūsu pārlūkprogrammai atzītas SI sertifikātu, jūsu pārlūkprogramma noteiks, ka vietne ir īsta (a rāda slēgta piekaramās atslēgas ikonu). Un kā jau tika minēts iepriekš, paplašinātie validācijas sertifikāti (EV) ir mēģinājums uzlabot uzticēšanos šiem SSL sertifikātiem.

HTTPS visur

Daudzas vietnes var izmantot, bet pēc noklusējuma tās neizmanto. Šādos gadījumos bieži vien ir iespējams tiem droši piekļūt, vienkārši aizliekot viņu tīmekļa adresi ar https: // (nevis: //). Daudz labāks risinājums ir izmantot HTTPS visur.

Šis ir bezmaksas un atvērtā pirmkoda pārlūka paplašinājums, ko izstrādājusi sadarbība ar Electronic Frontier Foundation. Kad HTTPS visur instalēts, tā izmanto “gudru tehnoloģiju, lai pārrakstītu pieprasījumus uz šīm vietnēm uz HTTPS”.

Ja ir pieejams HTTPS savienojums, paplašinājums mēģinās jūs droši savienot ar vietni, izmantojot HTTPS, pat ja tas pēc noklusējuma netiek veikts. Ja HTTPS savienojums vispār nav pieejams, jūs izveidosit savienojumu, izmantojot parastu nedrošu HTTP.

Instalējot HTTPS visur, jūs droši izveidosit savienojumu ar daudzām citām vietnēm, tāpēc mēs stingri iesaku instalējot to. HTTP visur ir pieejams Firefox (ieskaitot Firefox Android), Chrome un Opera.

Problēmas ar HTTPS

Viltus SSL sertifikāti

Lielākā HTTPS problēma ir tā, ka visa sistēma ir atkarīga no uzticamības tīkla - mēs uzticamies, ka SI izsniedz SSL sertifikātus tikai verificētiem domēnu īpašniekiem. Tomēr…

Pastāv apmēram 1200 SI, kas var parakstīt sertifikātus domēniem, kurus pieņems gandrīz jebkurš pārlūks. Lai arī kļūšana par CA ir saistīta ar daudzu formalitāšu kārtošanu (ne tikai ikviens var sevi pieteikt kā CA!), Tās ​​var (un ir) paļauties uz valdībām (lielākā problēma), iebiedēt krāpniekus vai nolaupīt noziedzniekus, lai izdotu nepatiesas ziņas sertifikāti.

Tas nozīmē ka:

  1. Izmantojot simtiem sertifikātu izdevēju iestāžu, visas sistēmas kompromitēšana prasa tikai vienu “sliktu olu”, kas izsniedz viltīgus sertifikātus
  2. Kad sertifikāts ir izsniegts, šo sertifikātu nevar atsaukt, izņemot gadījumus, kad pārlūka veidotājs izsniedz pilnu pārlūka atjauninājumu.

Ja jūsu pārlūkprogramma apmeklē apdraudētu vietni un tiek parādīta tāda, kas izskatās kā derīgs HTTPS sertifikāts, tā iniciēs to, kas, viņaprāt, ir drošs savienojums, un vietrāžā URL parādīs piekaramo atslēgu..

Biedējoši ir tas, ka tikai vienam no vairāk nekā 1200 CA ir jābūt kompromitētam, lai jūsu pārlūkprogramma pieņemtu savienojumu. Kā novērojams šajā EZF rakstā,

Īsumā: šodien ir daudz veidu, kā sagraut HTTPS / TLS / SSL, pat ja vietnēs tiek darīts viss pareizi. Pašlaik Web drošības protokoli var būt pietiekami labi, lai aizsargātu pret uzbrucējiem ar ierobežotu laiku un motivāciju, taču tie nav piemēroti pasaulei, kurā arvien vairāk tiek rīkoti ģeopolitiski un biznesa konkursi, izmantojot uzbrukumus pret datorsistēmu drošību..

Pīters Ekerkers

Diemžēl šī problēma ir tālu no teorētiskās. Tāpat diemžēl nav arī vispārpieņemtu risinājumu, lai gan kopā ar EV publiskās atslēgas piespraušana tiek izmantota lielākajā daļā mūsdienu vietņu, cenšoties risināt šo problēmu..

Izmantojot publiskās atslēgas piespraušanu, pārlūks tīmekļa vietnes resursdatoru saista ar paredzamo HTTPS sertifikātu vai publisko atslēgu (šī saistība ir “piesprausta” resursdatoram), un, ja tiek uzrādīts negaidīts sertifikāts vai atslēga, tas atsakās pieņemt savienojumu un izsniedz jums brīdinājums.

Elektronisko robežu fonds (EZF) arī uzsāka SSL observatorijas projektu ar mērķi izpētīt visus sertifikātus, kurus izmanto interneta drošībai, aicinot sabiedrību nosūtīt sertifikātus analīzei. Cik man zināms, šis projekts nekad nav īsti aizsācies un gadiem ilgi nav darbojies.

Satiksmes analīze

Pētnieki ir parādījuši, ka trafika analīzi var izmantot HTTPS savienojumos, lai ar 89 precizitāti identificētu atsevišķas tīmekļa lapas, kuras apmeklē mērķis HTTPS nodrošinātās vietnēs..

Lai arī tas satrauc, jebkura šāda analīze būtu ļoti mērķtiecīgs uzbrukums konkrētam upurim.

HTTPS secinājums

Lai arī tas nav ideāls (bet kas ir?), HTTPS ir labs vietņu drošības pasākums. Ja tā nebūtu, tad nebūtu iespējams neviens no miljardiem finanšu darījumu un personas datu pārsūtīšanas, kas katru dienu notiek internetā, un pats internets (un, iespējams, pasaules ekonomika!) Sabrūk pa nakti..

Tas, ka HTTPS ieviešana vietnēs arvien vairāk kļūst par standartu, ir lieliski piemērots gan privātumam, gan privātumam (jo tas daudz apgrūtina VDI un tā darbību)..

Galvenais, kas jāatceras, vienmēr pārbaudiet, vai nav slēgtas piekaramās atslēgas ikonas, veicot jebko, kas prasa drošību vai privātumu internetā. Ja izmantojat nedrošu interneta savienojumu (piemēram, publisku WiFi tīklāju), jūs joprojām varat droši pārlūkot tīmekli, ja vien apmeklējat tikai HTTPS šifrētas vietnes.

Ja kāda iemesla dēļ jūs uztrauc kāda vietne, varat pārbaudīt tās SSL sertifikātu, lai redzētu, vai tā pieder īpašniekam, kuru jūs varētu sagaidīt no šīs vietnes.

TL ir tāds, ka, pateicoties HTTPS, jūs varat droši un privāti sērfot vietnēs, kas ir lieliski piemērots jūsu sirdsmieram!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me