Güçlü şifreleme son zamanlarda popüler hale gelmesine rağmen, web siteleri rutin olarak son 20 yıldır güçlü uçtan uca şifreleme kullanmaktadır. Sonuçta, web siteleri çok güvenli hale getirilemezse, alışveriş veya bankacılık gibi hiçbir çevrimiçi ticaret mümkün olmazdı. Bunun için kullanılan şifreleme protokolü, HTTP Secure (veya SSL / TLS üzerinden HTTP) anlamına gelen HTTPS'dir. Kullanıcıların güvenliğini sağlaması gereken herhangi bir web sitesi tarafından kullanılır ve internetteki tüm güvenliğin temel omurgasıdır.


HTTPS, güvenliği büyük bir öncelik olmayan web siteleri tarafından da giderek daha fazla kullanılmaktadır. Bu, Edward Snowden’in kitlesel hükümet gözetleme açıklamalarının ardından genel internet gizliliği ve güvenlik sorunlarına büyük ölçüde endişe duyuyor.

Bununla birlikte, EFF’in Şifreleme Girişimi, Symantec'in Her Yerdeki Şifreleme programı ve Mozilla gibi HTTPS güvenli olmayan arama sonuçlarını amorti etmeyi seçen projeler, protokolün genel olarak benimsenmesini hızlandırdı.

Peki HTTPS ne yapıyor?

Güvenli olmayan bir HTTP web sitesini ziyaret ettiğinizde tüm veriler şifrelenmemiş olarak aktarılır, böylece izleyen herkes o web sitesini ziyaret ederken yaptığınız her şeyi görebilir (çevrimiçi ödeme yaparken işlem ayrıntılarınız gibi). Siz ve web sunucusu arasında aktarılan verileri değiştirmek bile mümkündür.

HTTPS ile, web sitesine ilk bağlandığınızda bir kriptografik anahtar değişimi gerçekleşir ve web sitesinde sonraki tüm eylemler şifrelenir ve bu nedenle meraklı gözlerden gizlenir. İzleyen herkesin belirli bir web sitesini ziyaret ettiğinizi görebildiğini, ancak okuduğunuz tek tek sayfaları veya bu web sitesindeyken aktarılan diğer verileri göremeyeceğini unutmayın..

Örneğin, ProPrivacy web sitesi HTTPS kullanılarak güvence altına alınmıştır. Bu web sayfasını okurken bir süre kullanmadığınızı varsayarsak, İSS'niz proprivacy.com'u ziyaret ettiğinizi görebilir, ancak bu makaleyi okuduğunuzu göremez.

Bir VPN kullanıyorsanız, VPN sağlayıcınız aynı bilgileri görebilir, ancak iyi bir tanesi paylaşılan IP'leri kullanır, böylece birçok kullanıcısının hangilerinin proprivacy.com'u ziyaret ettiğini bilmez ve ilgili tüm günlükleri atar. yine de ziyaret et.

HTTPS'nin uçtan uca şifreleme kullandığını, bu nedenle bilgisayarınız (veya akıllı telefon vb.) İle bu web sitesi arasında geçen tüm verilerin şifreli olduğunu unutmayın. Bu, güvenli olmayan genel WiFi erişim noktalarına ve benzerlerine bağlıyken bile HTTPS web sitelerine güvenle erişebileceğiniz anlamına gelir.

Bir web sitesinin güvenli olup olmadığını nasıl anlarım??

Ziyaret ettiğiniz bir web sitesinin HTTPS tarafından korunup korunmadığını söylemek kolaydır:

  1. Toplamda, ana URL'nin / Arama çubuğunun hemen solunda kilitli bir asma kilit simgesi göreceksiniz.
  2. Çoğu durumda, web adresi https: // ile başlar. (Güvenli olmayan web siteleri http: // ile başlar, ancak hem https: // hem de http: // genellikle gizlidir.)

Güvenli olmayan web sitesi Firefox - HTTPS yok

Güvenli olmayan web sitesi Chrome

Aşağıda güvenli olmayan web sitelerine (Firefox ve Chrome) örnekler verilmiştir. Web adreslerinin (URL'ler) https: ile başlamadığına ve arama çubuğunun solunda kilit simgesi görüntülenmediğine dikkat edin

Güvenli web sitesi Firefox

Güvenli web sitesi Chrome

Güvenli web sitesi Edge

İşte Firefox, Chrome ve Microsoft Edge'deki bazı güvenli HTTPS web siteleri. Hepsi biraz farklı görünse de, hepsinde adres çubuğunun yanında kapalı bir asma kilit simgesi açıkça görebiliriz. Çoğu tarayıcının aksine, Edge'in URL'nin başında https: // göstermediğini unutmayın. Ayrıca, simgenin yeşil veya gri olabileceğini fark edeceksiniz ...

Yeşil ve gri asma kilit simgeleri arasındaki fark nedir?

Bir asma kilit simgesi gösterilirse, web sitesi güvenlidir. Ancak simge yeşilse, web sitesinin tarayıcınıza Genişletilmiş Doğrulama Sertifikası (EV) sunduğunu gösterir. Bunlar, sunulan SSL sertifikasının alan adı için doğru olduğunu ve alan adının web sitesine sahip olmasını beklediğiniz şirkete ait olduğunu doğrulamayı amaçlamaktadır..

Teorik olarak, yeşil bir asma kilit görüntüleyen web sitelerine daha fazla güvenmelisiniz. Ancak uygulamada, doğrulama sistemi kafa karıştırıcı olabilir.

nwolb

Örneğin, İngiltere'de NatWest bankasının çevrimiçi bankacılık adresi (www.nwolb.com), sıradan gözlemcinin yüksek cadde rakiplerinden biri olan İskoçya Kraliyet Bankası olarak düşünebileceği bir EV tarafından güvence altına alınmıştır. NatWest'in RBS'ye ait olduğunu bilmiyorsanız, tarayıcınıza yeşil bir simge verip vermediğine bakılmaksızın, Sertifikaya güvensizliğe neden olabilir.

Karışıklık, farklı tarayıcıların bazen Firefox ve Chrome'u kabul etmek için farklı ölçütler kullanması, örneğin Wikipedia.com'u ziyaret ederken yeşil bir asma kilit göstermesi nedeniyle olabilir, ancak Microsoft Edge gri bir simge gösterir.

Genel olarak sağduyu geçerli olmalıdır. Google'ı ziyaret ediyorsanız ve URL www.google.com ise, asma kilit simgesi ne olursa olsun alan adının Google'a ait olduğundan emin olabilirsiniz!

Diğer asma kilit simgeleri

Karışık içerik (web sitesi yalnızca kısmen şifrelenir ve gizlice dinlemeyi engellemez) ve kötü veya süresi dolmuş SSL sertifikaları gibi şeyleri gösteren diğer asma kilit simgeleriyle de karşılaşabilirsiniz. Bu web siteleri güvenli değil.

Ek bilgi

Tüm tarayıcılarda, asma kilit simgesine tıklayarak HTTPS bağlantısını doğrulamak için kullanılan SSL sertifikası hakkında ek bilgi bulabilirsiniz..

HTTPS daha fazla bilgi

Çoğu tarayıcı daha fazla kazmaya izin verir ve hatta SSL sertifikasının kendisini görüntüler

HTTPS gerçekten nasıl çalışır??

Köprü Metni Aktarım Protokolü (HTTP) adı temel olarak standart güvenli olmayan anlamına gelir (web sayfalarının köprüler aracılığıyla birbirine bağlanmasına izin veren uygulama protokolüdür).

HTTPS web sayfaları, web sunucusu tarafından belirlenen kimlik doğrulama algoritmalarıyla TLS şifrelemesi kullanılarak korunur.

TLS ayrıntıları

Çoğu tarayıcı HTTPS bağlantıları için kullanılan TLS şifrelemesi hakkında ayrıntılı bilgi verir. Bu, Firefox'ta gösterildiği gibi ProPrivacy tarafından kullanılan şifrelemedir. Kullanılan terimlerin birçoğu hakkında daha fazla bilgiyi burada bulabilirsiniz

Yeni bir bağlantı üzerinde anlaşmak için HTTPS, bir web sunucusunun bir tarayıcının özel anahtarı kullanılarak şifresi çözülen bir ortak anahtar sunduğu asimetrik bir anahtar şifreleme sistemi olan X.509 Ortak Anahtar Altyapısı'nı (PKI) kullanır. Ortadaki bir adam saldırısına karşı emin olmak için X.509, bir web sitesinin genel şifreleme anahtarını bir kuruluşun ayrıntılarına dijital olarak bağlayan küçük veri dosyaları olan HTTPS Sertifikalarını kullanır..

HTTPS Sertifikası, kriptografik olarak güvenilir bir üçüncü taraf (TTP) olarak davranan, sertifikanın adı verilen bir ortak anahtarın sahipliğini onaylayan tanınmış bir Sertifika Yetkilisi (CA) tarafından verilir..

Bir web sitesi tarayıcınıza tanınan bir CA'dan bir sertifika gösterirse, tarayıcınız sitenin orijinal olduğunu belirler (a kapalı bir asma kilit simgesi gösterir). Daha önce belirtildiği gibi, Genişletilmiş Doğrulama Sertifikaları (EV'ler) bu SSL sertifikalarına olan güveni artırma girişimidir.

Her Yerde HTTPS

Birçok web sitesi kullanabilir, ancak varsayılan olarak kullanmaz. Böyle bir durumda, web adreslerine https: // (yerine: // yerine) ekleyerek onlara güvenli bir şekilde erişmek genellikle mümkündür. Bununla birlikte, çok daha iyi bir çözüm HTTPS Everywhere kullanmaktır.

Bu, Electronic Frontier Foundation arasındaki işbirliği ile geliştirilen ücretsiz ve açık kaynaklı bir tarayıcı uzantısıdır. Yüklendikten sonra HTTPS Everywhere, “bu sitelere yapılan talepleri HTTPS'ye yeniden yazmak için akıllı teknoloji” kullanır.

Bir HTTPS bağlantısı varsa, varsayılan olarak yapılmasa bile, uzantı sizi HTTPS üzerinden güvenli bir şekilde web sitesine bağlamaya çalışır. Hiç HTTPS bağlantısı yoksa, normal güvensiz HTTP ile bağlanacaksınız.

HTTPS Everywhere yüklendiğinde, daha birçok web sitesine güvenli bir şekilde bağlanacaksınız ve bu nedenle şiddetle tavsiye yükleme. HTTP Everywhere, Firefox (Android için Firefox dahil), Chrome ve Opera için kullanılabilir.

HTTPS ile ilgili sorunlar

Sahte SSL Sertifikaları

HTTPS ile ilgili en büyük sorun, tüm sistemin bir güven ağına dayanmasıdır - CA'lara yalnızca doğrulanmış alan sahiplerine SSL sertifikaları vermeleri konusunda güveniyoruz. Ancak…

Neredeyse tüm tarayıcılar tarafından kabul edilecek etki alanları için sertifika imzalayabilen 1200 CA vardır. Bir CA olmak birçok formaliteye maruz kalmayı gerektirse de (sadece herkes kendilerini bir CA olarak kuramaz!), Hükümetler tarafından (en büyük sorun) yalınlabilir, dolandırıcıların gözünü korkutabilir veya suçlular tarafından yanlış yayınlamak için saldırıya uğrayabilirler. sertifikalar.

Bunun anlamı şudur ki:

  1. Yüzlerce Sertifika Yetkilisi ile, tüm sistemi tehlikeye atmak için yalnızca bir 'kötü yumurta' tehlikeli sertifikalar yayınlar
  2. Bir sertifika verildikten sonra, tarayıcı üreticisinin tarayıcının tam bir güncellemesini yayınlaması dışında bu sertifikayı iptal etmenin bir yolu yoktur..

Tarayıcınız güvenliği ihlal edilmiş bir web sitesini ziyaret ederse ve geçerli bir HTTPS sertifikası gibi görünüyorsa, güvenli bir bağlantı olduğunu düşündüğü şeyi başlatır ve URL'de bir asma kilit görüntüler.

Korkutucu olan şey, tarayıcınız için 1200 + CA'dan yalnızca birinin güvenliğinin ihlal edilmiş olması bağlantıyı kabul etmesidir. Bu EFF makalesinin gözlemlediği gibi,

Kısacası: HTTPS / TLS / SSL'yi, web siteleri her şeyi doğru yaptığında bile bugün kırmanın birçok yolu var. Şu anda uygulandığı gibi, Web’in güvenlik protokolleri sınırlı zaman ve motivasyona sahip saldırganlara karşı koruma sağlayacak kadar iyi olabilir, ancak bilgisayar sistemlerinin güvenliğine yönelik saldırılarla jeopolitik ve ticari yarışmaların giderek daha fazla oynandığı bir dünya için yetersizdir..

Peter Eckersley

Ne yazık ki, bu problem teorik olmaktan uzaktır. Aynı şekilde maalesef, EV'lerle birlikte genel anahtar sabitleme, çoğu modern web sitesi tarafından konuyla başa çıkmak için kullanılıyor olsa da, genel olarak kabul edilmiş bir çözüm yoktur..

Genel anahtar sabitlendiğinde, tarayıcı bir web sitesi ana bilgisayarını beklenen HTTPS sertifikası veya genel anahtarıyla ilişkilendirir (bu ilişkilendirme ana bilgisayara 'sabitlenir') ve beklenmeyen bir sertifika veya anahtarla sunulursa bağlantıyı kabul etmeyi reddeder ve bir uyarı.

Elektronik Sınır Vakfı (EFF) ayrıca, interneti güvence altına almak için kullanılan tüm sertifikaları araştırmak ve halkı analiz için sertifika göndermeye davet etmek amacıyla bir SSL Gözlemevi projesi başlattı. Bununla birlikte, bildiğim kadarıyla, bu proje asla gerçekten inmedi ve yıllarca uykuda kaldı.

Trafik analizi

Araştırmacılar, HTTPS güvenli web sitelerinde bir hedefin 89 doğrulukla ziyaret ettiği web sayfalarını tanımlamak için HTTPS bağlantılarında trafik analizinin kullanılabileceğini göstermiştir..

Endişelenmesine rağmen, bu tür bir analiz, belirli bir kurbana karşı son derece hedefli bir saldırı oluşturur.

HTTPS Sonuç

Mükemmel olmasa da (ama nedir?), HTTPS web siteleri için iyi bir güvenlik önlemidir. Eğer olmasaydı, internette her gün gerçekleşen milyarlarca finansal işlem ve kişisel veri aktarımının hiçbiri mümkün olmazdı ve internetin kendisi (ve muhtemelen dünya ekonomisi!) Bir gecede çökecekti.

HTTPS uygulamasının web sitelerinde giderek standart hale gelmesi hem gizlilik hem de gizlilik için mükemmeldir (NSA ve onun ilkinin işini çok daha zorlaştırdığı için!).

Hatırlanması gereken en önemli şey, internette güvenlik veya gizlilik gerektiren bir şey yaparken her zaman kapalı bir asma kilit simgesini kontrol etmektir. Güvenli olmayan bir internet bağlantısı (halka açık bir WiFi hotspot gibi) kullanıyorsanız, yalnızca HTTPS şifreli web sitelerini ziyaret ettiğiniz sürece web'de güvenli bir şekilde gezinebilirsiniz.

Herhangi bir nedenle bir web sitesi için endişe duyuyorsanız, o web sitesinin beklediğiniz sahibine ait olup olmadığını görmek için SSL sertifikasını kontrol edebilirsiniz..

TL, HTTPS sayesinde web sitelerinizde güvenli ve özel olarak gezinebilirsiniz, bu da gönül rahatlığınız için harika!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me