Co to jest HTTPS i dlaczego powinno mnie to obchodzić?
HTTPS, ikona kłódki na pasku adresu, szyfrowane połączenie z witryną - jest znana jako wiele rzeczy. Choć była zarezerwowana przede wszystkim dla haseł i innych poufnych danych, cała sieć stopniowo zostawia HTTP za sobą i przełącza się na HTTPS.
"S" w HTTPS oznacza "Bezpieczny". Jest to bezpieczna wersja standardowego "protokołu przesyłania hipertekstu", którego używa twoja przeglądarka podczas komunikowania się ze stronami internetowymi.
Jak HTTP naraża cię na ryzyko
Po połączeniu się ze stroną internetową za pomocą zwykłego protokołu HTTP przeglądarka wyszukuje adres IP odpowiadający stronie internetowej, łączy się z tym adresem IP i zakłada, że jest połączony z właściwym serwerem WWW. Dane przesyłane są przez połączenie w postaci przejrzystego tekstu. Osoba podsłuchująca w sieci Wi-Fi, dostawcy usług internetowych lub rządowych agencjach wywiadowczych, takich jak NSA, może zobaczyć odwiedzane strony internetowe i dane, które przekazujesz w jedną i drugą stronę.
Z tym są duże problemy. Po pierwsze, nie można zweryfikować, czy masz połączenie z właściwą witryną. Może Ty myśleć uzyskałeś dostęp do witryny swojego banku, ale znajdujesz się w zainfekowanej sieci, która przekieruje cię do strony internetowej oszusta. Hasła i numery kart kredytowych nigdy nie powinny być wysyłane za pośrednictwem połączenia HTTP, lub podsłuchujący mógłby je łatwo ukraść.
Te problemy występują, ponieważ połączenia HTTP nie są szyfrowane. Połączenia HTTPS są.
Jak chroni Cię szyfrowanie HTTPS
HTTPS jest dużo bezpieczniejszy niż HTTP. Po połączeniu się z zabezpieczonymi serwerami HTTPS witrynami takimi jak bank automatycznie przekieruje Cię do HTTPS-twoja przeglądarka sprawdza certyfikat bezpieczeństwa witryny i weryfikuje, czy została wydana przez uprawniony urząd certyfikacji. Pomaga to zapewnić, że jeśli na pasku adresu przeglądarki pojawi się "https://bank.com", oznacza to, że jesteś podłączony do prawdziwej witryny Twojego banku. Firma, która wystawiła certyfikat bezpieczeństwa, ręczy za nie. Niestety urzędy certyfikacji czasami wystawiają złe certyfikaty, a system ulega awarii. Chociaż nie jest doskonały, HTTPS jest nadal dużo bezpieczniejszy niż HTTP.
Wysyłając poufne informacje przez połączenie HTTPS, nikt nie może podsłuchiwać ich podczas przesyłania. Protokół HTTPS umożliwia bezpieczne korzystanie z bankowości internetowej i zakupów.
Zapewnia również dodatkową prywatność podczas normalnego przeglądania stron internetowych. Na przykład wyszukiwarka Google domyślnie obsługuje połączenia HTTPS. Oznacza to, że użytkownicy nie widzą, czego szukasz w Google.pl. To samo dotyczy Wikipedii i innych stron. Wcześniej każda osoba w tej samej sieci Wi-Fi mogła zobaczyć Twoje wyszukiwania, tak jak zrobił to Twój dostawca usług internetowych.
Dlaczego każdy chce pozostawić HTTP za sobą
Protokół HTTPS był pierwotnie przeznaczony dla haseł, płatności i innych poufnych danych, ale cała sieć zbliża się teraz do niego.
W USA dostawca usług internetowych może przeglądać historię przeglądania sieci i sprzedawać ją reklamodawcom. Jeśli sieć przejdzie na HTTPS, Twój dostawca usług internetowych nie może zobaczyć tak dużej ilości danych - widzą tylko, że łączysz się z konkretną witryną, a nie z poszczególnymi stronami, które przeglądasz. Oznacza to o wiele więcej prywatności podczas przeglądania.
Co gorsza, protokół HTTP pozwala usługodawcy internetowemu na manipulowanie odwiedzanymi stronami internetowymi, jeśli tego chcą. Mogą dodawać treść do strony internetowej, modyfikować stronę, a nawet usuwać elementy. Na przykład dostawcy usług internetowych mogą użyć tej metody, aby wprowadzić więcej reklam na odwiedzane strony internetowe. Comcast już wstrzykuje ostrzeżenia o ograniczeniu przepustowości, a Verizon wstrzyknął supercookie do śledzenia reklam. Protokół HTTPS uniemożliwia usługodawcom internetowym i wszystkim innym, którzy prowadzą sieć, manipulowanie przy takich stronach internetowych.
I, oczywiście, nie można mówić o szyfrowaniu w Internecie bez wspominania o Edward Snowden. Dokumenty ujawnione przez Snowdena w 2013 roku pokazały, że rząd Stanów Zjednoczonych monitoruje strony internetowe odwiedzane przez internautów na całym świecie. To spowodowało pożar w wielu firmach technologicznych zmierzających do zwiększenia szyfrowania i prywatności. Przechodząc do protokołu HTTPS, rządy na całym świecie mają trudniejszy czas, przeglądając wszystkie nawyki przeglądania.
W jaki sposób przeglądarki zachęcają witryny internetowe do zrzucania HTTP
Z powodu chęci przejścia na HTTPS, wszystkie nowe standardy zaprojektowane tak, aby uczynić internet szybszym, wymagają szyfrowania HTTPS. HTTP / 2 jest główną nową wersją protokołu HTTP obsługiwaną we wszystkich głównych przeglądarkach internetowych. Dodaje kompresję, funkcje pipelining i inne funkcje, które pomagają w szybszym ładowaniu stron internetowych. Wszystkie przeglądarki wymagają witryn do korzystania z szyfrowania HTTPS, jeśli chcą korzystać z nowych przydatnych funkcji HTTP / 2. Nowoczesne urządzenia mają dedykowany sprzęt do przetwarzania wymaganego szyfrowania AES HTTP. Oznacza to, że protokół HTTPS powinien być rzeczywiście szybszy niż protokół HTTP.
Chociaż przeglądarki zwiększają atrakcyjność protokołu HTTPS dzięki nowym funkcjom, Google sprawia, że protokół HTTP jest nieatrakcyjny, ponieważ penalizuje witryny internetowe, które mogą z niego korzystać. Google planuje oznaczyć witryny, które nie korzystają z HTTPS, jako niebezpieczne w Chrome, a Google chce nadać priorytet witrynom, które korzystają z HTTPS w wynikach wyszukiwania Google. Stanowi to silną zachętę do migracji witryn do HTTPS.
Jak sprawdzić, czy jesteś podłączony do witryny przy użyciu protokołu HTTPS
Możesz powiedzieć, że masz połączenie z witryną za pomocą połączenia HTTPS, jeśli adres w pasku adresu przeglądarki zaczyna się od "https: //". Zobaczysz także ikonę kłódki, którą możesz kliknąć, aby uzyskać więcej informacji na temat bezpieczeństwa witryny.
Wygląda to nieco inaczej w każdej przeglądarce, ale większość przeglądarek ma wspólną https: // i ikonę kłódki. Niektóre przeglądarki domyślnie ukrywają "https: //", więc zobaczysz ikonę kłódki obok nazwy domeny witryny. Jeśli jednak klikniesz lub klikniesz na pasku adresu, zobaczysz część adresu "https: //".
Jeśli używasz nieznanej sieci i łączysz się ze stroną internetową Twojego banku, upewnij się, że widzisz HTTPS i prawidłowy adres witryny. Pomaga to upewnić się, że faktycznie jesteś podłączony do strony internetowej banku, chociaż nie jest to niezawodne rozwiązanie. Jeśli nie widzisz wskaźnika HTTPS na stronie logowania, możesz być połączony z witryną oszustów w zainfekowanej sieci.
Uważaj na triki wyłudzające informacje
Obecność samego HTTPS nie jest gwarancją legalności strony. Niektórzy sprytni phisherzy zdali sobie sprawę, że ludzie szukają wskaźnika HTTPS i ikony kłódki i mogą starać się ukryć swoje strony internetowe. Powinieneś zachować ostrożność: nie klikaj linków w wiadomościach phishingowych lub możesz znaleźć się na sprytnie ukrytej stronie. Oszuści mogą również uzyskać certyfikaty dla swoich serwerów oszustwa. Teoretycznie nie można im podszywać się pod witryny, które nie należą do nich. Możesz zobaczyć adres taki jak https://google.com.3526347346435.com. W tym przypadku używasz połączenia HTTPS, ale naprawdę masz połączenie z subdomeną witryny o nazwie 3526347346435.com - nie Google.
Inni oszuści mogą naśladować ikonę kłódki, zmieniając favicony na stronie, która pojawia się na pasku adresu, i próbują cię oszukać. Miej oko na te sztuczki podczas sprawdzania połączenia z witryną.