แม้ว่าการเข้ารหัสที่รัดกุมได้กลายเป็นที่นิยมเมื่อเร็ว ๆ นี้เว็บไซต์ต่างๆได้ใช้การเข้ารหัสที่แข็งแกร่งตั้งแต่ต้นจนจบในช่วง 20 ปีที่ผ่านมา ท้ายที่สุดหากเว็บไซต์ไม่สามารถทำให้มีความปลอดภัยสูงได้ก็จะไม่มีรูปแบบของการค้าออนไลน์เช่นการช็อปปิ้งหรือการธนาคาร โปรโตคอลการเข้ารหัสที่ใช้สำหรับสิ่งนี้คือ HTTPS ซึ่งย่อมาจาก HTTP Secure (หรือ HTTP ผ่าน SSL / TLS) มันถูกใช้โดยเว็บไซต์ใด ๆ ที่ต้องการรักษาความปลอดภัยของผู้ใช้และเป็นหัวใจหลักของความปลอดภัยทั้งหมดบนอินเทอร์เน็ต.


HTTPS ยังมีการใช้งานเว็บไซต์มากขึ้นซึ่งความปลอดภัยไม่ได้เป็นสิ่งสำคัญอันดับแรก นี่เป็นส่วนใหญ่ที่เพิ่มความกังวลเกี่ยวกับความเป็นส่วนตัวทางอินเทอร์เน็ตและปัญหาด้านความปลอดภัยหลังจากการเปิดเผยการเฝ้าระวังโดยรัฐบาลของ Edward Snowden.

โครงการต่าง ๆ เช่นโครงการ Let 'Encrypt Encrypt ของ EFF โปรแกรมเข้ารหัสของไซแมนเทคทุกที่และ Mozilla เลือกที่จะคิดค่าเสื่อมราคาผลการค้นหาที่ปลอดภัยที่ไม่ใช่ HTTPS อย่างไรก็ตามได้เร่งการยอมรับโปรโตคอลทั่วไป.

HTTPS ทำอะไร?

เมื่อคุณเยี่ยมชมเว็บไซต์ HTTP ที่ไม่ปลอดภัยข้อมูลทั้งหมดจะถูกถ่ายโอนโดยไม่เข้ารหัสดังนั้นทุกคนที่รับชมสามารถเห็นทุกสิ่งที่คุณทำขณะเยี่ยมชมเว็บไซต์นั้น (รวมถึงสิ่งต่าง ๆ เช่นรายละเอียดธุรกรรมของคุณเมื่อชำระเงินออนไลน์) เป็นไปได้ที่จะแก้ไขข้อมูลที่ถ่ายโอนระหว่างคุณกับเว็บเซิร์ฟเวอร์.

ด้วย HTTPS การแลกเปลี่ยนคีย์การเข้ารหัสจะเกิดขึ้นเมื่อคุณเชื่อมต่อกับเว็บไซต์เป็นครั้งแรกและการกระทำที่ตามมาทั้งหมดในเว็บไซต์นั้นจะถูกเข้ารหัสดังนั้นจึงซ่อนตัวจากการแอบมอง โปรดทราบว่าทุกคนที่รับชมจะเห็นว่าคุณได้เยี่ยมชมเว็บไซต์บางแห่งแล้ว แต่ไม่สามารถดูได้ว่าคุณอ่านหน้าใดหน้าใดหรือข้อมูลอื่นใดที่ถูกถ่ายโอนขณะอยู่บนเว็บไซต์.

ตัวอย่างเช่นเว็บไซต์ ProPrivacy มีความปลอดภัยโดยใช้ HTTPS สมมติว่าคุณไม่ได้ใช้ในขณะที่กำลังอ่านหน้าเว็บนี้ ISP ของคุณจะเห็นว่าคุณได้เข้าเยี่ยมชม proprivacy.com แล้ว แต่ไม่เห็นว่าคุณกำลังอ่านบทความนี้อยู่.

หากคุณใช้ VPN ผู้ให้บริการ VPN ของคุณสามารถดูข้อมูลเดียวกันได้ แต่ผู้ใช้ที่ดีจะใช้ IP ที่ใช้ร่วมกันดังนั้นจึงไม่ทราบว่ามีผู้ใช้จำนวนมากที่เข้าชม proprivacy.com และจะยกเลิกบันทึกทั้งหมดที่เกี่ยวข้องกับ เยี่ยมชมต่อไป.

โปรดทราบว่า HTTPS ใช้การเข้ารหัสแบบครบวงจรดังนั้นข้อมูลทั้งหมดที่ผ่านระหว่างคอมพิวเตอร์ของคุณ (หรือสมาร์ทโฟน ฯลฯ ) และเว็บไซต์นั้นจะถูกเข้ารหัส ซึ่งหมายความว่าคุณสามารถเข้าถึงเว็บไซต์ HTTPS ได้อย่างปลอดภัยแม้จะเชื่อมต่อกับฮอตสปอต WiFi สาธารณะที่ไม่ปลอดภัยและอื่น ๆ.

ฉันจะรู้ได้อย่างไรว่าเว็บไซต์นั้นปลอดภัย?

มันง่ายที่จะบอกว่าเว็บไซต์ที่คุณเยี่ยมชมนั้นปลอดภัยโดย HTTPS หรือไม่:

  1. โดยรวมคุณจะเห็นไอคอนรูปกุญแจล็อคที่ด้านซ้ายของ URL หลัก / แถบค้นหา.
  2. ที่อยู่เว็บส่วนใหญ่จะเริ่มต้นด้วย https: // (เว็บไซต์ที่ไม่มีการรักษาความปลอดภัยเริ่มต้นด้วย http: // แต่ทั้ง https: // และ http: // มักจะถูกซ่อนอยู่)

เว็บไซต์ที่ไม่ปลอดภัย Firefox - ไม่มี HTTPS

Chrome เว็บไซต์ที่ไม่ปลอดภัย

นี่คือตัวอย่างของเว็บไซต์ที่ไม่ปลอดภัย (Firefox และ Chrome) โปรดสังเกตว่าที่อยู่เว็บ (URL) ไม่ได้ขึ้นต้นด้วย https: และไม่มีไอคอนรูปกุญแจแสดงทางด้านซ้ายของแถบค้นหา

เว็บไซต์ Firefox ที่ปลอดภัย

Chrome เว็บไซต์ที่ปลอดภัย

Edge เว็บไซต์ที่ปลอดภัย

นี่คือเว็บไซต์ HTTPS ที่ปลอดภัยใน Firefox, Chrome และ Microsoft Edge แม้ว่าพวกเขาทั้งหมดจะดูแตกต่างกันเล็กน้อย แต่เราสามารถเห็นไอคอนรูปกุญแจล็อคที่อยู่ติดกับแถบที่อยู่ในทั้งหมด โปรดทราบว่าไม่เหมือนกับเบราว์เซอร์ส่วนใหญ่ Edge จะไม่แสดง https: // ที่จุดเริ่มต้นของ URL คุณจะสังเกตเห็นว่าไอคอนสามารถเป็นสีเขียวหรือสีเทา ...

ความแตกต่างระหว่างไอคอนรูปกุญแจสีเขียวและสีเทาคืออะไร?

หากไอคอนรูปกุญแจปรากฏขึ้นแสดงว่าเว็บไซต์นั้นปลอดภัย หากไอคอนเป็นสีเขียวแสดงว่าเว็บไซต์แสดงเบราว์เซอร์ของคุณพร้อม Extended Extendedation Certificate (EV) สิ่งเหล่านี้มีวัตถุประสงค์เพื่อตรวจสอบว่าใบรับรอง SSL ที่แสดงนั้นถูกต้องสำหรับโดเมนและชื่อโดเมนเป็นของ บริษัท ที่คุณคาดว่าจะเป็นเจ้าของเว็บไซต์.

ในทางทฤษฎีแล้วคุณควรมีความเชื่อมั่นในเว็บไซต์ที่แสดงกุญแจสีเขียวมากขึ้น อย่างไรก็ตามในทางปฏิบัติระบบตรวจสอบอาจสร้างความสับสน.

nwolb

ตัวอย่างเช่นในสหราชอาณาจักรที่อยู่ธนาคารออนไลน์ของ NatWest (www.nwolb.com) ได้รับการรับรองโดย EV ซึ่งเป็นสิ่งที่ผู้สังเกตการณ์ทั่วไปอาจคิดว่าเป็นคู่แข่งทางถนน - Royal Bank of Scotland ถ้าคุณไม่ทราบว่า NatWest เป็นเจ้าของโดย RBS สิ่งนี้อาจนำไปสู่ความไม่ไว้วางใจใบรับรองไม่ว่าเบราว์เซอร์ของคุณจะให้ไอคอนสีเขียวหรือไม่.

ความสับสนอาจเกิดจากข้อเท็จจริงที่ว่าบางครั้งเบราว์เซอร์ที่แตกต่างกันใช้เกณฑ์แตกต่างกันในการยอมรับ Firefox และ Chrome เช่นแสดงกุญแจสีเขียวเมื่อเข้าสู่ Wikipedia.com แต่ Microsoft Edge แสดงไอคอนสีเทา.

โดยทั่วไปสามัญสำนึกควรมีชัยเหนือกว่า หากคุณกำลังเยี่ยมชม Google และ URL คือ www.google.com คุณสามารถมั่นใจได้ว่าโดเมนเป็นของ Google ไม่ว่าจะเป็นไอคอนรูปกุญแจ!

ไอคอนรูปกุญแจอื่น ๆ

คุณอาจพบไอคอนรูปแม่กุญแจอื่น ๆ ที่แสดงถึงสิ่งต่าง ๆ เช่นเนื้อหาแบบผสม (เว็บไซต์มีการเข้ารหัสเพียงบางส่วนเท่านั้นและไม่ได้ป้องกันการแอบฟัง) และใบรับรอง SSL ที่ไม่ถูกต้องหรือหมดอายุ เว็บไซต์ดังกล่าว ไม่ปลอดภัย.

ข้อมูลเพิ่มเติม

ในเบราว์เซอร์ทั้งหมดคุณสามารถค้นหาข้อมูลเพิ่มเติมเกี่ยวกับใบรับรอง SSL ที่ใช้ในการตรวจสอบการเชื่อมต่อ HTTPS โดยคลิกที่ไอคอนรูปกุญแจ.

HTTPS ข้อมูลเพิ่มเติม

เบราว์เซอร์ส่วนใหญ่อนุญาตให้ทำการขุดเพิ่มเติมและแม้แต่ดูใบรับรอง SSL เอง

HTTPS ทำงานอย่างไร?

โดยทั่วไปชื่อ Hypertext Transfer Protocol (HTTP) นั้นหมายถึงมาตรฐานที่ไม่ปลอดภัย (เป็นโปรโตคอลแอปพลิเคชันที่อนุญาตให้เว็บเพจเชื่อมต่อซึ่งกันและกันผ่านไฮเปอร์ลิงก์).

หน้าเว็บ HTTPS มีความปลอดภัยโดยใช้การเข้ารหัส TLS ด้วยและขั้นตอนวิธีการรับรองความถูกต้องที่กำหนดโดยเว็บเซิร์ฟเวอร์.

รายละเอียด TLS

เบราว์เซอร์ส่วนใหญ่จะให้รายละเอียดเกี่ยวกับการเข้ารหัส TLS ที่ใช้สำหรับการเชื่อมต่อ HTTPS นี่คือการเข้ารหัสที่ใช้โดย ProPrivacy ดังที่ปรากฏใน Firefox ข้อมูลเพิ่มเติมเกี่ยวกับข้อกำหนดจำนวนมากที่สามารถพบได้ที่นี่

ในการเจรจาการเชื่อมต่อใหม่ HTTPS ใช้ X.509 Public Key Infrastructure (PKI) ซึ่งเป็นระบบเข้ารหัสคีย์แบบไม่สมมาตรที่เว็บเซิร์ฟเวอร์แสดงคีย์สาธารณะซึ่งถอดรหัสโดยใช้ไพรเวตคีย์ของเบราว์เซอร์ เพื่อให้มั่นใจว่ามีการโจมตีจากคนกลาง X.509 ใช้ HTTPS Certificates - ไฟล์ข้อมูลขนาดเล็กที่เชื่อมโยงคีย์เข้ารหัสลับสาธารณะของเว็บไซต์เข้ากับรายละเอียดขององค์กร.

ใบรับรอง HTTPS ออกโดย Certificate Authority (CA) ที่ได้รับการยอมรับซึ่งรับรองการเป็นเจ้าของคีย์สาธารณะโดยหัวเรื่องที่มีชื่อของใบรับรอง - ทำหน้าที่ในข้อกำหนดการเข้ารหัสเป็นบุคคลที่สามที่เชื่อถือได้ (TTP).

หากเว็บไซต์แสดงใบรับรองจากเบราว์เซอร์ของคุณจากเบราว์เซอร์ของคุณเบราว์เซอร์ของคุณจะตรวจสอบว่าไซต์นั้นเป็นของแท้หรือไม่ (แสดงไอคอนรูปกุญแจปิด) และตามที่ระบุไว้ก่อนหน้านี้ Extended Validation Certificate (EVs) เป็นความพยายามที่จะปรับปรุงความน่าเชื่อถือในใบรับรอง SSL เหล่านี้.

HTTPS ทุกที่

เว็บไซต์หลายแห่งสามารถใช้งานได้ แต่ไม่ได้ตามค่าเริ่มต้น ในรูปแบบดังกล่าวมักจะสามารถเข้าถึงได้อย่างปลอดภัยเพียงแค่นำหน้าที่อยู่เว็บของพวกเขาด้วย https: // (แทนที่จะ: //) วิธีแก้ปัญหาที่ดีกว่าคือการใช้ HTTPS ทุกที่.

นี่คือส่วนขยายเบราว์เซอร์ฟรีและโอเพนซอร์สที่พัฒนาโดยความร่วมมือระหว่างและมูลนิธิพรมแดนอิเล็กทรอนิกส์ เมื่อติดตั้งแล้ว HTTPS ทุกที่จะใช้“ เทคโนโลยีที่ชาญฉลาดในการเขียนคำขอไปยัง HTTPS อีกครั้ง”

หากมีการเชื่อมต่อ HTTPS ส่วนขยายจะพยายามเชื่อมต่อคุณกับเว็บไซต์ผ่าน HTTPS อย่างปลอดภัยแม้ว่าจะไม่ได้ดำเนินการตามค่าเริ่มต้นก็ตาม หากไม่มีการเชื่อมต่อ HTTPS เลยคุณจะเชื่อมต่อผ่าน HTTP ที่ไม่ปลอดภัยปกติ.

เมื่อติดตั้ง HTTPS ทุกที่คุณจะเชื่อมต่อกับเว็บไซต์อื่น ๆ อีกมากมายอย่างปลอดภัยและดังนั้นเราจึง ขอแนะนำ ติดตั้งมัน HTTP Everywhere พร้อมใช้งานสำหรับ Firefox (รวมถึง Firefox สำหรับ Android), Chrome และ Opera.

มีปัญหากับ HTTPS

ใบรับรอง SSL ปลอม

ปัญหาที่ใหญ่ที่สุดของ HTTPS คือระบบทั้งหมดอาศัยเว็บที่ไว้วางใจ - เราเชื่อว่า CA จะออกใบรับรอง SSL ให้กับเจ้าของโดเมนที่ได้รับการยืนยันเท่านั้น อย่างไรก็ตาม ...

มี 1200 CAs บางอย่างที่สามารถลงชื่อใบรับรองสำหรับโดเมนที่จะยอมรับได้จากเกือบทุกเบราว์เซอร์ แม้ว่าการเป็น CA นั้นจะเกี่ยวข้องกับพิธีการหลายอย่าง (ไม่ใช่แค่ใครก็ตามที่สามารถกำหนดตัวเองในฐานะ CA!) แต่พวกเขาสามารถพึ่งพา (และเป็น) โดยรัฐบาล (ปัญหาที่ใหญ่ที่สุด) ถูกข่มขู่โดยโจร ใบรับรอง.

ซึ่งหมายความว่า:

  1. ด้วยหน่วยงานผู้ออกใบรับรองหลายร้อยรายการใช้ใบรับรอง“ ไข่ไม่ดี” เพียงครั้งเดียวเพื่อหลบเลี่ยงระบบทั้งหมด
  2. เมื่อออกใบรับรองแล้วจะไม่มีวิธีเพิกถอนใบรับรองนั้นยกเว้นผู้สร้างเบราว์เซอร์ที่จะออกการอัปเดตเบราว์เซอร์แบบเต็ม.

หากเบราว์เซอร์ของคุณเข้าชมเว็บไซต์ที่ถูกบุกรุกและนำเสนอด้วยสิ่งที่ดูเหมือนว่าใบรับรอง HTTPS ที่ถูกต้องมันจะเริ่มต้นสิ่งที่คิดว่าเป็นการเชื่อมต่อที่ปลอดภัยและจะแสดงกุญแจล็อคใน URL.

สิ่งที่น่ากลัวคือมีเพียงหนึ่งใน 1,200+ CAs ที่ต้องได้รับอันตรายสำหรับเบราว์เซอร์ของคุณที่ยอมรับการเชื่อมต่อ เป็นบทความ EFF นี้ตั้งข้อสังเกต,

กล่าวโดยย่อ: มีหลายวิธีในการทำลาย HTTPS / TLS / SSL วันนี้แม้ว่าเว็บไซต์จะทำทุกอย่างถูกต้อง ตามที่ได้มีการนำมาใช้ในปัจจุบันโพรโทคอลความปลอดภัยของเว็บอาจดีพอที่จะป้องกันผู้โจมตีด้วยเวลาและแรงจูงใจที่ จำกัด แต่พวกเขาไม่เพียงพอสำหรับโลกที่การแข่งขันทางการเมืองและภูมิศาสตร์การเมืองนั้นเริ่มทวีความรุนแรงมากขึ้น.

Peter Eckersley

น่าเสียดายที่ปัญหานี้อยู่ไกลจากทางทฤษฎี น่าเสียดายที่ไม่มีวิธีการแก้ปัญหาที่ได้รับการยอมรับโดยทั่วไปแม้ว่าจะใช้ EV ร่วมกับการตรึงกุญแจสาธารณะโดยเว็บไซต์ที่ทันสมัยที่สุดในความพยายามที่จะแก้ไขปัญหา.

เมื่อใช้รหัสสาธารณะตรึงเบราว์เซอร์จะเชื่อมโยงโฮสต์เว็บไซต์กับใบรับรอง HTTPS หรือรหัสสาธารณะที่คาดไว้ (การเชื่อมโยงนี้จะ 'ตรึง' ไว้กับโฮสต์) และหากแสดงด้วยใบรับรองหรือคีย์ที่ไม่คาดคิดจะปฏิเสธที่จะยอมรับการเชื่อมต่อ คำเตือน.

Electronic Frontier Foundation (EFF) ได้เริ่มโครงการ SSL Observatory โดยมีจุดประสงค์ในการตรวจสอบใบรับรองทั้งหมดที่ใช้ในการรักษาความปลอดภัยอินเทอร์เน็ตเชิญประชาชนให้ส่งใบรับรองเพื่อการวิเคราะห์ เท่าที่ฉันทราบ แต่โครงการนี้ไม่เคยหยุดลงและนอนไม่หลับมานานหลายปี.

การวิเคราะห์การจราจร

นักวิจัยได้แสดงให้เห็นว่าการวิเคราะห์ปริมาณข้อมูลสามารถใช้กับการเชื่อมต่อ HTTPS เพื่อระบุหน้าเว็บแต่ละหน้าที่เยี่ยมชมโดยเป้าหมายบนเว็บไซต์ที่ปลอดภัย HTTPS ด้วยความแม่นยำ 89.

ถึงแม้ว่าจะกังวล แต่การวิเคราะห์ใด ๆ ดังกล่าวจะเป็นการโจมตีเป้าหมายที่เฉพาะเจาะจงต่อเหยื่อรายหนึ่ง.

สรุป HTTPS

แม้ว่าจะไม่สมบูรณ์แบบ (แต่คืออะไร) HTTPS เป็นมาตรการรักษาความปลอดภัยที่ดีสำหรับเว็บไซต์ หากไม่เป็นเช่นนั้นการทำธุรกรรมทางการเงินและการถ่ายโอนข้อมูลส่วนบุคคลที่เกิดขึ้นทุกวันบนอินเทอร์เน็ตจะเป็นไปไม่ได้นับพันล้านรายการและอินเทอร์เน็ตเอง (และอาจเป็นเศรษฐกิจโลก!) จะล่มสลายในชั่วข้ามคืน.

การติดตั้ง HTTPS นั้นกลายเป็นมาตรฐานในเว็บไซต์มากขึ้นทั้งสำหรับความเป็นส่วนตัวและความเป็นส่วนตัว (เพราะทำให้ NSA และ ILK ทำงานหนักขึ้น!).

สิ่งสำคัญที่ต้องจำไว้คือการตรวจสอบไอคอนรูปกุญแจปิดเสมอเมื่อทำอะไรที่ต้องการความปลอดภัยหรือความเป็นส่วนตัวบนอินเทอร์เน็ต หากคุณใช้การเชื่อมต่ออินเทอร์เน็ตที่ไม่ปลอดภัย (เช่นฮอตสปอต WiFi สาธารณะ) คุณยังสามารถท่องเว็บได้อย่างปลอดภัยตราบใดที่คุณเข้าชมเว็บไซต์ที่เข้ารหัส HTTPS เท่านั้น.

หากด้วยเหตุผลใดก็ตามที่คุณกังวลเกี่ยวกับเว็บไซต์คุณสามารถตรวจสอบใบรับรอง SSL เพื่อดูว่าเป็นของเจ้าของที่คุณคาดหวังจากเว็บไซต์นั้นหรือไม่.

TL นั้นต้องขอบคุณ HTTPS คุณสามารถท่องเว็บไซต์อย่างปลอดภัยและเป็นส่วนตัวซึ่งเหมาะสำหรับความสงบของจิตใจ!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me