HTTP a HTTPS
HTTPS je prohlížeč síťových protokolů, který slouží k bezpečné komunikaci s webovými servery. HTTPS je bezpečná alternativa k mnohem staršímu protokolu, který se nazývá Hyper Text Transfer Protocol nebo HTTP. HTTPS může chránit uživatele, protože vyžaduje šifrování toho, že všechna vyměňovaná webová (nebo HTTP) data jsou přenášena kryptografickým protokolem TLS (HTTPS je doslova * HTTP * přes *TLS,
Šifrování webových dat pomocí tajného klíče (např TLS zlepšuje) zabezpečení uživatelů tím, že brání útočníkům ve čtení nebo pozměňování původního přenášeného obsahu. Takové síťové útoky jsou známé jako útoky uprostřed (MITM). Vědci opakovaně prokázali, že útočníci MITM mohou v podstatě číst nebo upravovat jakýkoli provoz HTTP, aniž by o tom uživatel věděl.
Díky vyšší bezpečnosti je HTTPS ideální pro webové aplikace zpracovávající citlivá data a většina serverů (např. Bankovní nebo e-mailové servery) již byla upgradována. Bohužel ne všechny webové servery to podporují kvůli různým provozním omezením, jako je například zvýšená šířka pásma, starší problémy atd. Protože existuje potenciální nebezpečí, dotčení uživatelé musí vědět, zda procházejí nezabezpečeným připojením.
Zadejte bezpečnostní indikátory
Prohlížeče informují uživatele o stavu zabezpečení webového připojení ve formě grafiky zobrazené v adresním řádku (např. Ikona zámku před URL tohoto článku). Tyto bezpečnostní indikátory může být buď negativní a upozornit uživatele, že jsou potenciálně ohroženi, nebo pozitivní, aby je ujistil, že jejich připojení je bezpečné.
Bezpečnostní indikátory se používají ke komunikaci dvou aspektů webového připojení; zabezpečení připojení a pravost vzdáleného webového serveru.
Zabezpečení připojení pomocí šifrování
Indikátory informují o zabezpečení připojení rozlišením mezi šifrované, nešifrované a smíšený obsah spojení. Šifrované a nešifrované weby chrání veškerý nebo žádný obsah. Smíšený obsah znamená, že některé komponenty jinak šifrovaných webových stránek jsou získávány nešifrovanými kanály.
Jsou vyvolány komponenty, které mohou modifikovat obsah stránky (například skripty nebo vektory) aktivní obsah. Volány jsou komponenty s pevnou identitou (jako jsou statické obrázky nebo písma) pasivní obsah.
Přestože plně šifrované webové připojení zní bezpečně, to samo o sobě neznamená, že je možné web prohlížet.
Autentizace serveru a digitální certifikáty
Útočníci mohou (a mohou) kopírovat obsah webu a přesměrovat síťový provoz na svůj škodlivý server, a to i přes šifrovaná připojení. Jejich server by musel předložit pouze jiný, známý TLS klíč namísto původního tajemství. Nemají-li důvod pochybovat o legitimitě připojení, mohou být uživatelé, kteří nic netuší, přesvědčeni, aby se přihlásili nebo prozradili jakékoli jiné citlivé informace.
Prohlížeče v reakci na autentizaci serverů pomocí korelace pověření oprávněných vlastníků webového serveru s jedinečným šifrovacím klíčem, který každý server představuje. Prohlížeče tímto způsobem delegují toto ověření pověření na entity třetích stran, tzv Certifikační autority (CA.). Hlavní prohlížeče udržují kořenové programy pro správu své vlastní důvěryhodnosti certifikačních autorit, které musí dodržovat přísné standardy a požadavky na audit, kterým prohlížeč důvěřuje.
Vlastník webového serveru, který požaduje certifikát od důvěryhodné certifikační autority, například SSL.com, musí předložit platný veřejný klíč a prokázat, že řídí název domény a server, na který odkazuje. Pokud jsou tyto kontroly úspěšné, vydá CA vlastníkovi digitální certifikát, který jej používá k šifrování i ověřování připojení k jejich webu.
Certifikáty jsou digitální identity obsahující informace o osobě nebo organizaci, která vlastní server. CA kryptograficky podepisují každý certifikát digitálním podpisem, mechanismem integrity analogickým jako voskové pečeti - útočníci nemohou duplikovat podpis a před úpravou obsahu by jej museli zneplatnit. HTTPS vyžaduje, aby webový server pozdravil připojení prohlížeče s platným certifikátem tohoto serveru. Prohlížeče poté zkontrolují certifikát - pokud byl podepsán důvěryhodnou CA, může připojení pokračovat. (Pokud server předloží jiný, zrušený nebo jinak neplatný certifikát, prohlížeč ukončí nebo zakáže připojení a varuje uživatele pomocí chybových zpráv, které podrobně prozkoumáme v budoucím článku).
Úrovně ověření
Je třeba poznamenat, že ne všechny certifikáty nabízejí stejnou úroveň zabezpečení a bezpečnostní indikátory mohou rozlišovat mezi různými typy certifikátů vydávaných pro různé úrovně validace.
Vydání CA. Doména ověřena (DV) certifikáty zákazníkům, kteří prokázali kontrolu nad doménou DNS. Organizace ověřena (OV) certifikáty jsou prověřovány k ověření, že organizace je právnickou osobou, stejně jako kontrola domény. Konečně, Rozšířené ověřeno (EV) certifikáty - které mohou zobrazovat informace o společnosti na samotné liště prohlížeče - jsou vyhrazeny pro zákazníky, kteří prošli několika nezávislými kontrolami ověřování (včetně kontaktu mezi lidmi, odkazem na kvalifikované databáze a následnými kontrolami), jakož i OV- a DV -úrovňové kroky.
Aktuální stav indikátorů
V počátcích internetu byl standard HTTP a HTTPS byl představen jako volba pro ty, kteří mají maximální bezpečnost. V důsledku toho většina prohlížečů používala pouze pozitivní indikátory, tj. zámek zobrazující připojení HTTPS a (volitelně), zda toto připojení používá certifikát EV. Dnes, v zájmu širšího povědomí o zabezpečení, začal Chrome spolu s Firefoxem a Safari také používat negativní indikátory, varování uživatelů stránek s nekódovanými nebo smíšenými stránkami aktivního obsahu. Následující tabulka je shrnutím obecného stavu bezpečnostních indikátorů v prohlížečích. Počínaje HTTP (což není vůbec bezpečné) je každá položka dále v seznamu bezpečnější než ta předchozí.
(Pro zvětšení klikněte na obrázek)
Připravované změny a plány do budoucna
Tým použitelného zabezpečení Chrome vydal návrh pro změnu tohoto chování prohlížeče. Navrhují, aby všechny prohlížeče začaly aktivně varovat uživatele před nebezpečnými webovými servery HTTP (nebo HTTPS se smíšeným obsahem) negativními indikátory, zatímco se z webových stránek HTTPS snaží úplně odstranit pozitivní bezpečnostní indikátory.
Zakládají své rozhodnutí na výzkumu, který byl publikoval v 2007uvádí, že uživatelé ignorují pozitivní bezpečnostní indikátory, na rozdíl od negativních indikátorů, které jsou vnímány jako vážnější. Chrome ve svém původním návrhu rovněž uvedl, že „uživatelé by měli ve výchozím nastavení očekávat, že je web bezpečný, a v případě problému budou upozorněni“.
Přihlášen k této myšlence, počínaje zářím 2018, novější verze prohlížeče Chrome (69+) zobrazují negativní indikátor „Nezabezpečeno“ na všech webech HTTP a nebudou zobrazovat pozitivní indikátor „Zabezpečeno“ pro HTTPS.
Mozilla Firefox (od verze 58+) je jedním ze dvou dalších prohlížečů, které přijaly negativní bezpečnostní indikátory, ale pouze pro stránky se smíšeným aktivním obsahem. Dále v oficiální blogový příspěvek, oznámili své budoucí plány týkající se indikátorů zabezpečení uživatelského rozhraní ve Firefoxu: „Firefox nakonec zobrazí ikonu přeškrtnutého zámku pro všechny stránky, které nepoužívají HTTPS, aby bylo jasné, že nejsou zabezpečené.“
Safari Safari společnosti Apple (technická verze 46+) je zbývající prohlížeč, který používá negativní indikátory pro webové stránky se smíšeným aktivním obsahem, i když neučinil žádné veřejné prohlášení ohledně svých plánů pro bezpečnostní indikátory v budoucnu.
Prohlížeče Microsoft Edge a Opera nemluvily veřejně o svých plánech o indikátorech zabezpečení uživatelského rozhraní.
Proč investovat do čističky vzduchu?
Být v bezpečí na internetu by jako výchozí a aktivní varování prohlížeče před nezabezpečeným připojením HTTP by mohla poskytnout velkou motivaci pro některé starší majitele webových serverů věnovat pozornost bezpečnosti svých stránek a jejich návštěvníků. Odstranění indikátoru „Zabezpečení“ z webových stránek HTTPS je (pravděpodobně) krokem k tomu, aby se HTTPS stal očekávanou normou. Pokud jde o úplné odstranění pozitivních indikátorů, některé indikátory, jako jsou indikátory EV, mohou za určitých okolností i nadále poskytnout jistotu důležitou pro vistory. Ať už bude budoucnost jakákoli, s rostoucím využitím globálního HTTPS budou určitě muset být provedeny některé zajímavé změny a výzvy - takže si s námi neustále ověřujte budoucí informace o těchto a dalších tématech zabezpečení.
Jako vždy, díky za přečtení těchto slov z SSL.com, kde věříme bezpečnější Internet je lepší Internet.
