Mis on HTTPS ja miks peaksin hoolitsema?
HTTPS, aadressiribal olev lukustuse ikoon, krüpteeritud veebisaidi ühendus - seda tuntakse nii palju. Kuigi see oli kunagi reserveeritud peamiselt paroolidele ja muudele tundlikele andmetele, jätab kogu veebi HTTP-st järk-järgult maha ja lülitub HTTPS-i.
HTTPSis olev „S” tähistab “Secure”. See on veebibrauseriga suhtlemisel teie veebibrauseri standardse „hüperteksti ülekande protokolli” turvaline versioon.
Kuidas HTTP viib teid ohtu
Kui ühendate veebisaidiga, millel on tavaline HTTP, näeb teie brauser veebisaidile vastavat IP-aadressi, loob selle IP-aadressiga ja eeldab, et see on ühendatud õige veebiserveriga. Andmed saadetakse ühenduse kaudu selge tekstiga. Wi-Fi-võrgus asuv pealtkuulaja, teie Interneti-teenuse pakkuja või valitsusasutuste luureasutused nagu NSA näevad külastatavaid veebilehti ja andmeid, mida edastate edasi-tagasi.
Sellega on suuri probleeme. Esiteks ei ole võimalik kinnitada, et olete ühendatud õigele veebisaidile. Võib-olla sa mõtle olete avanud oma panga veebisaidi, kuid olete võrgus, mis on ohustatud, mis suunab teid petturite veebisaidile. Paroole ja krediitkaardi numbreid ei tohiks kunagi HTTP-ühenduse kaudu saata või pealtkuulaja neid lihtsalt varastada.
Need probleemid tekivad seetõttu, et HTTP-ühendusi ei krüptita. HTTPS-ühendused on.
Kuidas HTTPSi krüptimine teid kaitseb
HTTPS on palju turvalisem kui HTTP. Kui ühendate HTTPS-turvatud serveriga kaitstud saitidega, nagu teie pank suunab teid automaatselt HTTPS-ile, kontrollib teie veebibrauser veebisaidi turvasertifikaati ja kontrollib, et selle on välja andnud õigustatud sertifikaadi asutus. See aitab teil tagada, et kui näete veebibrauseri aadressiribal „https://bank.com”, siis olete tegelikult seotud oma panga tegeliku veebisaidiga. Turvasertifikaadi välja andnud ettevõte annab neile kinnituse. Kahjuks väljastavad sertifikaadi asutused mõnikord halbu sertifikaate ja süsteem laguneb. Kuigi see ei ole täiuslik, on HTTPS siiski palju turvalisem kui HTTP.
Kui saadate tundlikku teavet HTTPS-ühenduse kaudu, ei saa keegi seda transiidil pealt kuulata. HTTPS on see, mis muudab turvalise internetipanga ja ostude tegemise võimalikuks.
Samuti pakub see ka tavalist veebibrauserit täiendavat privaatsust. Näiteks on Google'i otsingumootor vaikimisi HTTPS-ühendused. See tähendab, et inimesed ei näe Google.com-is seda, mida otsite. Sama kehtib Wikipedia ja teiste saitide kohta. Varem oleks keegi samas Wi-Fi-võrgus näha teie otsinguid, nagu teie Interneti-teenuse pakkuja.
Miks igaüks tahab HTTP taga
HTTPS oli algselt mõeldud paroolidele, maksetele ja muudele tundlikele andmetele, kuid kogu veebi liigub nüüd selle suunas.
USA-s on teie Interneti-teenuse pakkujal lubatud veebibrauserite ajal pilgutada ja müüa seda reklaamijatele. Kui veeb liigub HTTPS-i, ei näe teie Interneti-teenuse pakkuja neid andmeid nii palju, kuigi - nad näevad ainult, et ühendate konkreetse veebisaidiga, mitte aga üksikuid lehti, mida vaatate. See tähendab sirvimise jaoks palju rohkem privaatsust.
Veelgi hullem on see, et HTTP võimaldab teie Interneti-teenuse pakkujal, kui nad soovivad, teie külastatavaid veebilehti muuta. Nad võivad veebilehe sisu lisada, muuta või isegi asju eemaldada. Näiteks võivad Interneti-teenuse pakkujad seda meetodit kasutada rohkemate reklaamide süstimiseks külastatavatesse veebilehtedesse. Comcast juba sisestab hoiatusi oma ribalaiuse ülempiiri kohta ja Verizon on süstinud reklaamide jälgimiseks kasutatavat superkooki. HTTPS takistab internetiteenuse pakkujatel ja kellelgi teisel, kes võrku haldab, selliseid veebilehti rikkumast.
Ja muidugi ei ole võimalik veebis krüpteerimisest rääkida ilma Edward Snowdeni mainimata. 2013. aastal Snowdeni poolt lekkinud dokumendid näitasid, et USA valitsus jälgib internetikasutajate poolt külastatud veebilehti kogu maailmas. See süttis paljusid tehnoloogiaettevõtteid, et liikuda suurema krüptimise ja privaatsuse poole. Liigudes HTTPS-i, on valitsustel kogu maailmas sirvimisharjumuste vaatamise ajal karmim aeg.
Kuidas brauserid ergutavad veebisaite Dump HTTP-le
Tänu sellele soovile liikuda HTTPS-i, on kõik uued standardid, mis on loodud veebi kiiremaks muutmiseks, HTTPS-krüpteerimist nõudma. HTTP / 2 on HTTP-protokolli peamine uus versioon, mida toetatakse kõigis suuremates veebibrauserites. See lisab kokkusurumise, torujuhtmete ja muude funktsioonide, mis aitavad veebilehti kiiremini laadida. Kõik veebibrauserid nõuavad, et saidid kasutaksid HTTPSi krüpteerimist, kui nad soovivad neid kasulikke uusi HTTP / 2 funktsioone. Kaasaegsetel seadmetel on spetsiaalne riistvara AES-i krüpteerimiseks. See tähendab, et HTTPS peaks tegelikult olema kiirem kui HTTP.
Kuigi brauserid muudavad HTTPSi uute funktsioonidega atraktiivseks, muudab Google HTTP-i ebatõenäoliseks, kui karistada veebisaite selle kasutamise eest. Google plaanib märgistada veebisaite, mis ei kasuta Chrome'is HTTPS-i ohtlikuks, ja Google tahab Google'i otsingutulemustes prioriteerida HTTPS-i kasutavaid veebisaite. See annab veebilehtedele tugeva stiimuli migreeruda HTTPS-i.
Kuidas kontrollida, kas olete ühendatud veebisaidiga HTTPS-i kasutades
Võite öelda, et olete ühendatud HTTPS-ühenduse veebisaidiga, kui teie veebibrauseri aadressiribal olev aadress algab sõnaga „https: //”. Näete ka lukukuvalik, mille abil saate rohkem teavet veebisaidi turvalisuse kohta.
See tundub igas brauseris veidi erinev, kuid enamikus brauserites on ühine https: // ja lukk. Mõned brauserid peidavad vaikimisi „https: //”, nii et näete lihtsalt veebisaidi domeeninime kõrval olevat lukuklahvi. Kui aga klõpsate või koputage aadressiribale, näete aadressi osa „https: //”.
Kui kasutate tundmatut võrku ja ühendate oma panga veebisaidiga, veenduge, et näete HTTPSi ja õiget veebisaidi aadressi. See aitab teil tagada, et olete tegelikult panga veebisaidiga ühendatud, kuigi see ei ole lollikindel lahendus. Kui te ei näe sisselogimislehel HTTPS-indikaatorit, võite olla ühendatud ohustatud võrguga ohustatud võrgus.
Vaadake välja andmepüügi trikke
HTTPSi olemasolu ise ei ole garantii, mida sait on õigustatud. Mõned nutikad andmepüüdjad on mõistnud, et inimesed otsivad HTTPS-i indikaatorit ja lukk-ikooni ning võivad oma veebisaite varjata. Seega peaksite siiski olema ettevaatlik: ärge klikkige andmepüügis kirjade linkidel või võite leida ennast nutikalt varjatud lehelt. Petturid saavad ka nende pettuserverite sertifikaate. Teoreetiliselt takistatakse neil vaid nende isikute omastamist, kellele nad ei kuulu. Võite näha aadressi nagu https://google.com.3526347346435.com. Sellisel juhul kasutate HTTPS-ühendust, kuid olete tõesti seotud saidi alamdomeeniga nimega 3526347346435.com-mitte Google.
Teised petturid võivad jälje lüüsi ikooni, muutes oma veebisaidi faviconi, mis kuvatakse aadressiribal lukuks, et proovida sind lüüa. Jälgige neid trikke, kui kontrollite oma ühenduse veebisaidiga.