Mis on HTTPS ja miks ma peaksin sellest hoolima?

HTTPS, lukustusikoon aadressiribal, krüptitud veebisaidiühendus - seda tuntakse paljude asjadena. Kui see oli kunagi reserveeritud peamiselt paroolidele ja muudele tundlikele andmetele, jätab kogu veeb järk-järgult HTTP taha ja lülitub HTTPS-ile.

„S” tähistab HTTPS-is „turvalist”. See on turvalise versiooni standardne hüperteksti edastamise protokoll, mida teie veebibrauser veebisaitidega suhtlemisel kasutab.

Kuidas HTTP teid ohustab

Kui loote ühenduse tavalise HTTP-ga veebisaidiga, otsib teie brauser veebisaidile vastava IP-aadressi, ühenduse selle IP-aadressiga ja eeldab, et see on ühendatud õige veebiserveriga. Andmed saadetakse ühenduse kaudu selge tekstina. WiFi-võrgu pealtkuulaja, teie Interneti-teenuse pakkuja või valitsuse luureagentuurid nagu NSA näevad teie külastatavaid veebilehtesid ja andmeid, mida edasi-tagasi edastate.

SEOTUD:Mis on krüpteerimine ja kuidas see töötab?

Sellega on suuri probleeme. Esiteks ei saa kuidagi kinnitada, et olete õige veebisaidiga ühendatud. Ehk sina mõtle pääsesite oma panga veebisaidile, kuid olete rikutud võrgus, mis suunab teid teeskleja veebisaidile. Paroole ja krediitkaardinumbreid ei tohiks kunagi saata HTTP-ühenduse kaudu, vastasel juhul võib pealtkuulaja neid hõlpsasti varastada.

Need probleemid ilmnevad seetõttu, et HTTP-ühendused pole krüpteeritud. HTTPS-ühendused on.

Kuidas HTTPS-i krüptimine teid kaitseb

SEOTUD:Kuidas brauserid veebisaidi identiteeti kontrollivad ja postitajate eest kaitsevad

HTTPS on palju turvalisem kui HTTP. Kui loote ühenduse HTTPS-i kaitstud serveriga - sellised turvalised saidid nagu teie pank suunavad teid automaatselt ümber HTTPS-i - kontrollib teie veebibrauser veebisaidi turvasertifikaati ja kontrollib, et selle on välja andnud seaduslik sertifikaadiasutus. See aitab teil tagada, et kui näete oma veebibrauseri aadressiribal „//bank.com”, olete tegelikult ühendatud oma panga tegeliku veebisaidiga. Turvasertifikaadi välja andnud ettevõte annab neile käenduse. Paraku väljastavad sertifikaadiasutused mõnikord halbu sertifikaate ja süsteem laguneb. Ehkki see pole täiuslik, on HTTPS siiski palju turvalisem kui HTTP.

Kui saadate tundlikku teavet HTTPS-ühenduse kaudu, ei saa keegi seda transiidina pealt kuulata. HTTPS on see, mis võimaldab turvalist veebipanka ja ostlemist.

See tagab täiendava privaatsuse ka tavalise veebibrauseri jaoks. Näiteks on Google'i otsingumootor nüüd vaikimisi HTTPS-ühendused. See tähendab, et inimesed ei näe Google.com-is seda, mida otsite. Sama kehtib ka Vikipeedia ja teiste saitide kohta. Varem näevad kõik teie sama WiFi-võrgu kasutajad teie otsinguid, nagu ka teie Interneti-teenuse pakkuja.

Miks kõik tahavad HTTP taha jätta?

HTTPS oli algselt mõeldud paroolide, maksete ja muude tundlike andmete jaoks, kuid kogu veeb liigub nüüd selle poole.

USA-s on teie Interneti-teenuse pakkujal lubatud teie veebi sirvimisajalugu noppida ja reklaamijatele müüa. Kui veeb kolib HTTPS-i, ei näe teie Interneti-teenuse pakkuja siiski nii palju neid andmeid - nad näevad ainult seda, et olete ühenduse loomisel kindla veebisaidiga, mitte milliseid üksikuid lehti vaatate. See tähendab teie sirvimisel palju rohkem privaatsust.

Veelgi hullem on see, et HTTP võimaldab teie Interneti-teenuse pakkujal soovi korral teie külastatud veebilehtedel sekkuda. Nad said lisada veebilehele sisu, seda lehte muuta või isegi asju eemaldada. Näiteks võivad Interneti-teenuse pakkujad seda meetodit kasutada külastatud veebilehtedele rohkemate reklaamide sisestamiseks. Comcast süstib juba ribalaiuse piiriku kohta hoiatusi ja Verizon on süstinud reklaamide jälgimiseks kasutatavat superküpsist. HTTPS takistab Interneti-teenuse pakkujatel ja kõigil teistel võrku haldavatel isikutel selliste veebilehtede rikkumist.

Ja muidugi on võimatu rääkida veebis krüptimisest, mainimata Edward Snowdenit. Snowdeni 2013. aastal lekitanud dokumendid näitasid, et USA valitsus jälgib Interneti-kasutajate poolt kogu maailmas külastatud veebisaite. See süütas tule paljude tehnoloogiaettevõtete all, et liikuda krüptimise ja privaatsuse suurendamise poole. HTTPS-ile üleminekul on kogu maailma valitsustel karmim aeg vaadata kõiki teie sirvimisharjumusi.

Kuidas brauserid julgustavad veebisaite HTTP-d tühistama

Selle soovi tõttu minna üle HTTPS-i nõuavad kõik uued standardid, mis on loodud veebi kiiremaks muutmiseks, HTTPS-krüptimist. HTTP / 2 on peamine uus HTTP-versioon, mida toetavad kõik suuremad veebibrauserid. See lisab pakkimist, konveierimist ja muid funktsioone, mis aitavad veebilehtedel kiiremini laadida. Kõik veebibrauserid nõuavad saitidelt HTTPS-krüptimise kasutamist, kui nad soovivad neid kasulikke uusi HTTP / 2 funktsioone. Kaasaegsetes seadmetes on spetsiaalne riistvara ka AES-i krüptimise töötlemiseks. See tähendab, et HTTPS peaks tegelikult olema kiirem kui HTTP.

Kui brauserid muudavad HTTPS-i uute funktsioonidega atraktiivseks, muudab Google HTTP-de ebameeldivaks, karistades veebisaite selle kasutamise eest. Google kavatseb märgistada veebisaidid, mis ei kasuta HTTPS-i, Chrome'is ebaturvaliseks ja Google soovib seada esikohale veebisaidid, mis kasutavad Google'i otsingutulemites HTTPS-i. See annab veebisaitidele tugeva stiimuli HTTPS-i üleminekuks.

Kuidas kontrollida, kas olete ühendatud veebisaidiga, kasutades HTTPS-i

Kui veebibrauseri aadressiribal olev aadress algab tähega „//”, võite öelda, et olete ühendatud HTTPS-ühendusega veebisaidiga. Näete ka lukuikooni, millel saate veebisaidi turvalisuse kohta lisateabe saamiseks klõpsata.

See näeb igas brauseris välja veidi erinev, kuid enamikul brauseritel on // ja luku ikoon ühised. Mõni brauser peidab nüüd vaikimisi tähise „//”, nii et näete veebisaidi domeeninime kõrval lihtsalt lukuikooni. Kui aga klõpsate või puudutate aadressiribal, näete aadressi osa //.

SEOTUD:Miks võib avaliku WiFi-võrgu kasutamine olla ohtlik isegi krüpteeritud veebisaitidele juurdepääsu korral?

Kui kasutate harjumatut võrku ja loote ühenduse oma panga veebisaidiga, veenduge, et näeksite HTTPS-i ja õiget veebisaidi aadressi. See aitab teil tagada, et olete tegelikult panga veebisaidiga ühendatud, ehkki see pole lollikindel lahendus. Kui te ei näe sisselogimislehel HTTPS-i indikaatorit, võite olla ühendatud impostori veebisaidiga ohustatud võrgus.

Olge ettevaatlik andmepüügitrikkide osas

SEOTUD:Veebiturvalisus: andmepüügi e-posti anatoomia lagundamine

HTTPS-i olemasolu ise ei taga saidi legitiimsust. Mõned nutikad andmepüüdjad on aru saanud, et inimesed otsivad HTTPS-i indikaatorit ja lukuikooni ning võivad oma veebisaite varjata endast oleneva. Nii et peaksite siiski olema ettevaatlik: ärge klõpsake andmepüügimeilides linke, muidu võite sattuda nutikalt varjatud lehele. Petturid saavad sertifikaate ka oma petuserverite jaoks. Teoreetiliselt on neil takistatud vaid esinemine saitidena, mis neile ei kuulu. Võite näha sellist aadressi nagu //google.com.3526347346435.com. Sel juhul kasutate HTTPS-ühendust, kuid olete tõesti ühendatud saidi 3526347346435.com alamdomeeniga, mitte Google'iga.

Teised petturid võivad jäljendada lukuikooni, muutes oma veebisaidi favicon, mis kuvatakse aadressiribal, lukuks, et proovida teid petta. Veebisaidiga ühenduse kontrollimisel jälgige neid trikke.