Čo je protokol HTTPS a prečo by som sa mal starať?
HTTPS, ikona zámku v paneli s adresou, šifrované pripojenie k webovým stránkam - je známe ako veľa vecí. Aj keď bola kedysi rezervovaná predovšetkým pre heslá a iné citlivé údaje, celý web postupne opúšťa protokol HTTP a prepínal sa na protokol HTTPS.
"S" v protokole HTTPS znamená "Secure". Je to bezpečná verzia štandardného "hypertextového prenosového protokolu", ktorý váš webový prehliadač používa pri komunikácii s webovými stránkami.
Ako vás HTTP vystavuje riziku
Keď sa pripojíte na webovú stránku s bežným protokolom HTTP, váš prehliadač vyhľadá adresu IP zodpovedajúcu webovej lokalite, spojí sa s touto adresou IP a predpokladá, že je pripojená k správnemu serveru. Údaje sa odosielajú cez pripojenie v čistom texte. Poslucháč v sieti Wi-Fi, váš poskytovateľ internetových služieb alebo vládne spravodajské agentúry, ako je NSA, môžu vidieť navštívené webové stránky a údaje, ktoré prenášate sem a tam.
S tým sú veľké problémy. Po prvé, neexistuje spôsob, ako overiť, či ste pripojení na správny web. Možno ty premýšľať ste sa dostali na webovú stránku svojej banky, ale ste v kompromitovanej sieti, ktorá presmerováva vás na webovú stránku podvodníka. Heslá a čísla kreditných kariet by nikdy nemali byť odosielané cez HTTP spojenie, alebo by ich odposluch mohol ľahko ukradnúť.
Tieto problémy sa vyskytujú, pretože pripojenia HTTP nie sú šifrované. Sú pripojenia HTTPS.
Ako šifrovanie HTTPS chráni vás
HTTPS je oveľa bezpečnejší než HTTP. Keď sa pripájate k zabezpečeným stránkam zabezpečeným pomocou protokolu HTTPS, ako je vaša banka automaticky presmerovaná na HTTPS - váš webový prehliadač skontroluje bezpečnostný certifikát webovej stránky a overí, či ho vydal oprávnený certifikačný orgán. To vám pomôže zabezpečiť, aby ste v paneli s adresou vášho webového prehliadača zobrazili adresu "https://bank.com" a ste skutočne pripojení k skutočným webovým stránkam vašej banky. Spoločnosť, ktorá vydala bezpečnostné osvedčenie, im zaručuje. Bohužiaľ, certifikačné autority niekedy vydávajú zlé certifikáty a systém sa rozkladá. Hoci to nie je dokonalé, HTTPS je stále oveľa bezpečnejší než HTTP.
Keď odosielate citlivé informácie cez pripojenie HTTPS, nikto ho nemôže odposlať pri prenose. Služba HTTPS umožňuje zabezpečiť online bankovníctvo a nakupovanie.
Poskytuje tiež ďalšie súkromie pre bežné prehliadanie webových stránok. Napríklad vyhľadávací nástroj Google je predvolene pripojený k HTTPS. To znamená, že ľudia nemôžu vidieť, čo hľadáte na stránkach Google.com. To isté platí pre Wikipédiu a ďalšie stránky. Predtým by ktokoľvek v rovnakej sieti Wi-Fi mohol vidieť vaše vyhľadávania, rovnako ako váš poskytovateľ internetových služieb.
Prečo každý chce nechať HTTP späť
Služba HTTPS bola pôvodne určená na heslá, platby a ďalšie citlivé údaje, ale celý web sa teraz pohybuje smerom k nemu.
V USA vám poskytovateľ internetových služieb môže v histórii vášho prehliadania webových stránok sledovať a predávať inzerentom. Ak sa web presunie na HTTPS, váš poskytovateľ internetových služieb však nemôže vidieť toľko týchto údajov - vidí iba to, že sa pripájate na konkrétnu webovú stránku, na rozdiel od jednotlivých stránok, ktoré prezeráte. To znamená oveľa viac súkromia pre vaše prehliadanie.
Ešte horšie je, že HTTP umožňuje poskytovateľovi internetových služieb manipulovať s webovými stránkami, ktoré ste navštívili, ak si to želajú. Mohli pridať obsah na webovú stránku, upraviť stránku alebo dokonca odstrániť veci. Napríklad poskytovatelia internetových služieb by túto metódu mohli použiť na zavedenie ďalších reklám na webové stránky, ktoré navštevujete. Spoločnosť Comcast už injekčne upozorňuje na obmedzenie šírky pásma a spoločnosť Verizon vpichovala superkookie, ktoré slúžilo na sledovanie reklám. HTTPS zabraňuje poskytovateľom internetových služieb a všetkým ostatným prevádzkovateľom siete, aby narušovali takéto webové stránky.
A samozrejme nie je možné hovoriť o šifrovaní na webe bez toho, aby sa zmienil o Edwardovi Snowdenovi. Dokumenty zverejnené spoločnosťou Snowden v roku 2013 ukázali, že vláda USA monitoruje webové stránky, ktoré navštevujú používatelia internetu po celom svete. To zapálilo požiar pod mnohými technologickými spoločnosťami, aby sa posunuli smerom k zvýšenému šifrovaniu a súkromia. Pohybom na HTTPS majú vlády na celom svete náročnejší čas sledovať všetky vaše zvyky prehliadania.
Ako prehliadače povzbudzujú webové stránky, aby odpojili protokol HTTP
Z dôvodu tejto túžby prejsť na protokol HTTPS všetky nové štandardy navrhnuté tak, aby sa web rýchlejší, vyžaduje šifrovanie HTTPS. HTTP / 2 je hlavná nová verzia protokolu HTTP podporovaného vo všetkých hlavných webových prehliadačoch. Pridáva kompresiu, pipelining a ďalšie funkcie, ktoré pomáhajú pri načítavaní webových stránok rýchlejšie. Všetky webové prehliadače vyžadujú, aby stránky používali šifrovanie HTTPS, ak chcú tieto užitočné nové funkcie HTTP / 2. Moderné zariadenia majú vyhradený hardvér na spracovanie šifrovania AES, ktoré vyžaduje HTTP. To znamená, že HTTPS by mal byť skutočne rýchlejší ako HTTP.
Aj keď prehliadače prinášajú HTTPS atraktívnosť s novými funkciami, spoločnosť Google robí HTTP nepríjemnou tým, že penalizuje webové stránky, ktoré ju používajú. Spoločnosť Google plánuje označiť webové stránky, ktoré nepoužívajú protokol HTTPS ako bezpečný v prehliadači Chrome, a spoločnosť Google chce uprednostňovať webové stránky, ktoré používajú protokol HTTPS vo výsledkoch vyhľadávania Google. To poskytuje silnú motiváciu pre migráciu webových stránok do HTTPS.
Ako skontrolovať, či ste pripojení k webovému serveru pomocou protokolu HTTPS
Môžete povedať, že ste pripojení k webovému serveru s pripojením HTTPS, ak adresa na paneli s adresou vášho webového prehliadača začína reťazcom "https: //". Zobrazí sa aj ikona zámku, na ktorej môžete kliknúť a získate viac informácií o zabezpečení webových stránok.
V každom prehliadači to vyzerá trochu inak, ale väčšina prehliadačov má všeobecne ikonu https: // a zámok. Niektoré prehliadače teraz predvolene skryjú "https: //", preto sa vedľa názvu domény webovej stránky zobrazí len ikona zámku. Ak kliknete alebo klepnete na panel s adresou, zobrazí sa časť adresy "https: //".
Ak používate neznámu sieť a pripájate sa na webovú stránku svojej banky, uistite sa, že vidíte protokol HTTPS a správnu adresu webových stránok. To vám pomôže zabezpečiť, že ste skutočne pripojení k webovej stránke banky, hoci to nie je bezpečné riešenie. Ak sa na prihlasovacej stránke nezobrazuje indikátor HTTPS, môže byť pripojený k webovej lokalite podvodníka v kompromitovanej sieti.
Dajte si pozor na phishingové triky
Prítomnosť protokolu HTTPS sama osebe nie je zárukou, že stránka je oprávnená. Niektorí šikoví phiseri si uvedomili, že ľudia hľadajú indikátor HTTPS a ikonu zámku a môžu prejsť svojou cestou na zamaskovanie svojich webových stránok. Takže by ste mali byť stále opatrní: nekliknite na odkazy v phishingových e-mailoch alebo sa môžete ocitnúť na šikovne skrytej stránke. Podvodníci môžu získať certifikáty aj pre svoje podvodné servery. Teoreticky sa zabráni predstieraniu webových stránok, ktoré nevlastnia. Môže sa zobraziť adresa ako https://google.com.3526347346435.com. V tomto prípade používate pripojenie HTTPS, ale skutočne ste pripojení k subdoméne stránky s názvom 3526347346435.com - nie Google.
Iní podvodníci môžu napodobňovať ikonu zámku a zmeniť favikáciu webových stránok, ktorá sa objaví v paneli s adresou, aby sa zamkli. Dávajte pozor na tieto triky pri kontrole vášho pripojenia na webové stránky.