If-Koubou

Co to jest HTTPS i dlaczego powinno mnie to obchodzić?

Co to jest HTTPS i dlaczego powinno mnie to obchodzić? (Jak)

HTTPS, ikona kłódki na pasku adresu, zaszyfrowane połączenie z witryną - jest znana jako wiele rzeczy. Chociaż zarezerwowano go przede wszystkim dla haseł i innych poufnych danych, cała sieć stopniowo opuszcza HTTP i przełącza się na HTTPS.

"S" w HTTPS oznacza "Bezpieczny". Jest to bezpieczna wersja standardowego "protokołu przesyłania hipertekstu" używanego przez przeglądarkę do komunikowania się ze stronami internetowymi.

Jak HTTP stawia cię na ryzyko

Po połączeniu się ze stroną internetową za pomocą zwykłego protokołu HTTP przeglądarka wyszukuje adres IP odpowiadający stronie internetowej, łączy się z tym adresem IP i zakłada, że ​​jest połączony z właściwym serwerem WWW. Dane przesyłane są przez połączenie w postaci zwykłego tekstu. Osoba podsłuchująca w sieci Wi-Fi, dostawcy usług internetowych lub rządowe agencje wywiadowcze, takie jak NSA, mogą zobaczyć odwiedzane strony internetowe i dane, które przesyłasz.

Z tym są duże problemy. Po pierwsze, nie można zweryfikować, czy masz połączenie z odpowiednią witryną. Może Ty myśleć uzyskałeś dostęp do witryny swojego banku, ale znajdujesz się w zainfekowanej sieci, która przekierowuje cię do strony internetowej oszusta. Hasła i numery kart kredytowych nigdy nie powinny być wysyłane za pośrednictwem połączenia HTTP, lub podsłuchujący mógłby je łatwo ukraść.

Te problemy występują, ponieważ połączenia HTTP nie są szyfrowane. Połączenia HTTPS są.

Jak chroni Cię szyfrowanie HTTPS

HTTPS jest dużo bezpieczniejszy niż HTTP. Po połączeniu się z zabezpieczonymi serwerami HTTPS witrynami takimi jak bank automatycznie przekieruje Cię do HTTPS-twoja przeglądarka sprawdza certyfikat bezpieczeństwa witryny i sprawdza, czy został wydany przez uprawniony urząd certyfikacji. Pomaga to zapewnić, że jeśli zobaczysz "https://bank.com" na pasku adresu przeglądarki internetowej, to faktycznie jesteś podłączony do prawdziwej witryny Twojego banku. Firma, która wystawiła certyfikat bezpieczeństwa, ręczy za nie. Niestety urzędy certyfikacji czasami wystawiają złe certyfikaty, a system ulega awarii. Chociaż nie jest doskonały, HTTPS jest nadal dużo bezpieczniejszy niż HTTP.

Podczas wysyłania poufnych informacji przez połączenie HTTPS nikt nie może podsłuchiwać ich podczas przesyłania. Protokół HTTPS umożliwia bezpieczne korzystanie z bankowości internetowej i zakupów.

Zapewnia również dodatkową prywatność podczas normalnego przeglądania stron internetowych. Na przykład wyszukiwarka Google domyślnie obsługuje połączenia HTTPS. Oznacza to, że użytkownicy nie widzą, czego szukasz w Google.pl. To samo dotyczy Wikipedii i innych stron. Wcześniej każda osoba z tej samej sieci Wi-Fi mogła zobaczyć Twoje wyszukiwania, tak jak zrobił to Twój dostawca usług internetowych.

Dlaczego każdy chce opuścić HTTP Behind

Protokół HTTPS pierwotnie był przeznaczony dla haseł, płatności i innych poufnych danych, ale cała sieć zbliża się teraz do niego.

W USA dostawca usług internetowych może przeglądać historię przeglądania Internetu i sprzedawać ją reklamodawcom. Jeśli sieć przechodzi do HTTPS, dostawca usług internetowych nie może zobaczyć tak dużej ilości danych - widzą tylko, że łączysz się z konkretną witryną, a nie z poszczególnymi stronami, które przeglądasz. Oznacza to o wiele więcej prywatności podczas przeglądania.

Co gorsza, protokół HTTP pozwala usługodawcy internetowemu ingerować w odwiedzane strony internetowe, jeśli chcą. Mogą dodawać treść do strony internetowej, modyfikować stronę, a nawet usuwać elementy. Na przykład dostawcy usług internetowych mogą użyć tej metody, aby wprowadzić więcej reklam na odwiedzane strony internetowe. Comcast wstrzykuje ostrzeżenia o ograniczeniu przepustowości, a Verizon wstrzyknął supercookie służący do śledzenia reklam. Protokół HTTPS uniemożliwia usługodawcom internetowym i innym osobom korzystającym z sieci manipulowanie takimi stronami internetowymi.

I, oczywiście, nie można mówić o szyfrowaniu w Internecie bez wspominania o Edward Snowden. Dokumenty ujawnione przez Snowdena w 2013 r. Pokazały, że rząd Stanów Zjednoczonych monitoruje strony internetowe odwiedzane przez internautów na całym świecie. To spowodowało pożar w wielu firmach technologicznych zmierzających do zwiększenia szyfrowania i prywatności. Przenosząc się do HTTPS, rządy na całym świecie mają trudniejszy czas oglądania wszystkich swoich nawyków przeglądania.

Jak przeglądarki zachęcają witryny internetowe do zrzucania HTTP

Ze względu na to pragnienie przejścia na HTTPS, wszystkie nowe standardy zaprojektowane, aby uczynić internet szybszym, wymagają szyfrowania HTTPS. HTTP / 2 to główna nowa wersja protokołu HTTP obsługiwana we wszystkich głównych przeglądarkach internetowych. Dodaje kompresję, funkcje pipelining i inne funkcje, które pomagają w szybszym ładowaniu stron internetowych.Wszystkie przeglądarki wymagają witryn do korzystania z szyfrowania HTTPS, jeśli chcą korzystać z nowych przydatnych funkcji HTTP / 2. Nowoczesne urządzenia mają dedykowany sprzęt do przetwarzania wymaganego szyfrowania AES HTTP. Oznacza to, że protokół HTTPS powinien być rzeczywiście szybszy niż protokół HTTP.

Chociaż przeglądarki zwiększają atrakcyjność protokołu HTTPS dzięki nowym funkcjom, Google sprawia, że ​​protokół HTTP staje się nieatrakcyjny, nakładając na strony internetowe kary za ich używanie. Google planuje oznaczyć witryny, które nie korzystają z HTTPS, jako niebezpieczne w Chrome, a Google chce nadać priorytet witrynom, które korzystają z HTTPS w wynikach wyszukiwania Google. Stanowi to silną zachętę do migracji witryn do HTTPS.

Jak sprawdzić, czy jesteś podłączony do witryny przy użyciu protokołu HTTPS

Możesz powiedzieć, że masz połączenie z witryną za pomocą połączenia HTTPS, jeśli adres w pasku adresu przeglądarki zaczyna się od "https: //". Zobaczysz także ikonę kłódki, którą możesz kliknąć, aby uzyskać więcej informacji o zabezpieczeniach witryny.

Wygląda to nieco inaczej w każdej przeglądarce, ale większość przeglądarek ma wspólną https: // i ikonę kłódki. Niektóre przeglądarki domyślnie ukrywają "https: //", więc zobaczysz ikonę kłódki obok nazwy domeny witryny. Jeśli jednak klikniesz lub klikniesz na pasku adresu, zobaczysz część adresu "https: //".

Jeśli używasz nieznanej sieci i łączysz się ze stroną banku, upewnij się, że widzisz HTTPS i prawidłowy adres strony. Pomaga to upewnić się, że jesteś podłączony do strony internetowej banku, chociaż nie jest to niezawodne rozwiązanie. Jeśli nie widzisz wskaźnika HTTPS na stronie logowania, możesz być połączony z witryną oszustów w zainfekowanej sieci.

Uważaj na triki wyłudzające informacje

Obecność samego HTTPS nie jest gwarancją legalności strony. Niektórzy sprytni phisherzy zdali sobie sprawę, że ludzie szukają wskaźnika HTTPS i ikony kłódki i mogą starać się ukryć swoje strony internetowe. Powinieneś zachować ostrożność: nie klikaj linków w wiadomościach phishingowych lub możesz znaleźć się na sprytnie ukrytej stronie. Oszuści mogą również uzyskać certyfikaty dla swoich serwerów oszustwa. Teoretycznie nie można im podszywać się pod witryny, które nie należą do nich. Możesz zobaczyć adres taki jak https://google.com.3526347346435.com. W tym przypadku używasz połączenia HTTPS, ale naprawdę masz połączenie z subdomeną witryny o nazwie 3526347346435.com, a nie z Google.

Inni oszuści mogą naśladować ikonę kłódki, zmieniając favicony na stronie, która pojawia się na pasku adresu na kłódkę i próbują cię oszukać. Miej oko na te sztuczki podczas sprawdzania połączenia z witryną.