HTTP og HTTPS
HTTPS er en netværksprotokol, som browsere bruger til sikkert at kommunikere med webservere. HTTPS er et sikkert alternativ til en meget ældre protokol, kaldet Hyper Text Transfer Protocol, eller HTTP. HTTPS kan beskytte brugere, fordi det kræver kryptering af, at alle udvekslede web- (eller HTTP) data er via en kryptografisk protokol, kaldet TLS (HTTPS er bogstaveligt talt * HTTP * over *TLS*).
Kryptering af webdata med en hemmelig nøgle (som TLS gør) forbedrer brugernes sikkerhed ved at forhindre angribere i at læse eller ændre det originale indhold under transit. Sådanne netværksangreb er kendt som mand-i-midten-angreb (MITM) angreb. Forskere har gentagne gange demonstreret, at MITM-angribere i det væsentlige kan læse eller ændre enhver HTTP-trafik, uden at brugeren ved om det.
Den ekstra sikkerhed gør HTTPS ideel til webapplikationer, der håndterer følsomme data, og de fleste servere (f.eks. Bank- eller e-mail-servere) er allerede blevet opgraderet. Desværre understøtter ikke alle webservere det på grund af forskellige operationelle begrænsninger, såsom øget båndbredde, problemer med ældre problemer og så videre. Da der er potentiel fare, er berørte brugere nødt til at vide, om de gennemser en usikker forbindelse.
Indtast sikkerhedsindikatorer
Browsere informerer brugerne om sikkerhedsstatus for en webforbindelse i form af grafik vist i adresselinjen (f.eks. Låseikonet før URL'en til denne artikel). Disse sikkerhedsindikatorer kan være enten negativ og advarer brugere om, at de er i potentiel fare, eller positiv, for at forsikre dem om, at deres forbindelse er sikker.
Sikkerhedsindikatorer bruges til at kommunikere to aspekter af en internetforbindelse; forbindelsessikkerhed og ægthed på den eksterne webserver.
Forbindelsessikkerhed gennem kryptering
Indikatorer informerer om forbindelsessikkerhed ved at skelne mellem krypteret, ukrypteret og blandet indhold forbindelser. Krypterede og ikke-krypterede sider beskytter enten alt eller intet indhold. Blandet indhold betyder, at nogle komponenter på ellers-krypterede websteder hentes gennem ikke-krypterede kanaler.
Komponenter, der kan ændre indholdet på siden (f.eks. Scripts eller vektorer) kaldes aktivt indhold. Komponenter med faste identiteter (som statiske billeder eller skrifttyper) kaldes passivt indhold.
Selvom en fuldt krypteret internetforbindelse lyder sikkert, betyder det ikke alene, at et websted er sikkert at gennemse.
Servergodkendelse og digitale certifikater
Angribere kan (og gøre) kopiere indholdet på et websted og omdirigere netværkstrafik til deres egen ondsindede server, selv over krypterede forbindelser. Deres server ville kun skulle præsentere en anden, kendt TLS nøglen i stedet for den oprindelige hemmelighed. Uden at have nogen grund til at tvivle på legitimiteten af forbindelsen, kunne intetanende brugere derefter overtales til at logge ind eller videregive andre følsomme oplysninger.
Som svar autentificerer browsere servere ved at korrelere legitimationsoplysningerne for legitime webserverejere med den unikke krypteringsnøgle, som hver server præsenterer. På denne måde delegerer browsere denne legitimationsverifikation til tredjepartsenheder, kaldet Certifikatmyndigheder (CA'er). Store browsere opretholder rodprogrammer til at styre deres egen tillid til CA'er, som skal overholde strenge standarder og revisionskrav, som browseren har tillid til.
En web-serverejer, der anmoder om et certifikat fra en betroet CA, såsom SSL.com, skal præsentere en gyldig offentlig nøgle og bevise, at de kontrollerer domænenavnet og den server, den peger på. Hvis disse kontroller er vellykkede, udsteder CA et digitalt certifikat til ejeren, der bruger det til både at kryptere og autentificere forbindelser til deres websted.
Certifikater er digitale identiteter, der indeholder oplysninger om den person eller organisation, der ejer en server. CA'er krypterer kryptografisk hvert certifikat med en digital signatur, en integritetsmekanisme, der er analog med voksforseglinger - angribere kan ikke duplikere signaturen, og de bliver nødt til at ugyldiggøre den, før de ændrer indholdet. HTTPS kræver en webserver for at hilse på en browserforbindelse med serverens gyldige certifikat. Browserne kontrollerer derefter certifikatet - hvis det blev underskrevet af en betroet CA, kan forbindelsen fortsætte. (Hvis en server præsenterer et andet, tilbagekaldt eller på anden måde ugyldigt certifikat, afbryder eller afbryder browseren forbindelsen og advarer brugeren ved hjælp af fejlmeddelelser, som vi vil undersøge detaljeret i en fremtidig artikel).
Valideringsniveauer
Det skal bemærkes, at ikke alle certifikater tilbyder det samme sikkerhedsniveau, og sikkerhedsindikatorer kan skelne mellem de forskellige certifikattyper, der er udstedt for forskellige valideringsniveauer.
CA-spørgsmål Domæne valideret (DV) certifikater til kunder, der har vist kontrol over et DNS-domæne. Organisation valideret (OV) certifikater overvåges for at godkende, at en organisation er en juridisk enhed samt domænekontrol. Langt om længe, Udvidet valideret (EV) certifikater - som kan vise virksomhedsoplysninger i selve browserbjælken - er forbeholdt kunder, der har bestået flere uafhængige verifikationskontroller (inklusive kontakt mellem mennesker, henvisning til kvalificerede databaser og opfølgende anmeldelser) samt OV- og DV -niveau trin.
Indikatorers aktuelle status
I de tidlige dage af internettet var HTTP normen, og HTTPS blev introduceret som en mulighed for de mest sikkerhedsindstillede. Som et resultat anvendte de fleste browsere kun positiv indikatorer, dvs. en lås, der viser en HTTPS-forbindelse, og (valgfrit) om denne forbindelse bruger et EV-certifikat. For i dag at fremme sikkerhedsbevidstheden er Chrome sammen med Firefox og Safari også begyndt at vedtage brugen af negativ indikatorer, der advarer brugere om sider med ikke-krypterede eller blandede aktive indholdssider. Følgende tabel er et resumé af den generelle tilstand af sikkerhedsindikatorer i browsere. Fra og med HTTP (som slet ikke er sikkert) er hvert element længere på listen mere sikkert end de foregående.
(Klik på billedet for at forstørre)
Kommende ændringer og planer for fremtiden
Chromes anvendelige sikkerhedsteam har frigivet en forslag til at ændre denne browseradfærd. De foreslår, at alle browsere aktivt skal begynde at advare brugere mod usikre HTTP-websteder (eller blandet indhold HTTPS) med negative indikatorer, mens de forsøger at fjerne positive sikkerhedsindikatorer fra HTTPS-websteder helt.
De baserer deres beslutning på forskning, der var offentliggjort i 2007, der angiver, at positive sikkerhedsindikatorer ignoreres af brugerne i modsætning til negative indikatorer, der opfattes som mere alvorlige. Chrome har også hævdet i deres oprindelige forslag, at "brugere skal forvente, at internettet er sikkert som standard, og de vil blive advaret, når der er et problem".
Abonneret på denne idé starter nyere Chrome-versioner (2018+) fra september 69 med en "Ikke sikker" negativ indikator på alle HTTP-websteder og viser ikke den "sikre" positive indikator for HTTPS.
Mozillas Firefox (siden version 58+) er en af de to andre browsere, der har vedtaget negative sikkerhedsindikatorer, men kun for sider med blandet aktivt indhold. Desuden i en officielle blogindlæg, de har annonceret deres fremtidige planer for UI-sikkerhedsindikatorer i Firefox: "Firefox vil i sidste ende vise det gennemstrebte låsikon for alle sider, der ikke bruger HTTPS, for at gøre det klart, at de ikke er sikre".
Apples Safari (tech release 46+) er den resterende browser, der bruger negative indikatorer til websteder med blandet aktivt indhold, selvom de ikke har fremsat nogen offentlige erklæringer om deres planer for sikkerhedsindikatorer i fremtiden.
Microsofts Edge- og Opera-browsere har ikke talt offentligt om deres planer om UI-sikkerhedsindikatorer.
Konklusion
At være sikker på Internettet bør være standard, og aktive browseradvarsler mod usikre HTTP-forbindelser kan give stor motivation for nogle ældre webserverejere til at være opmærksomme på sikkerheden på deres websteder og deres besøgende. Desuden er fjernelse af "sikker" indikator fra HTTPS-websteder (uden tvivl) et skridt i retning af at gøre HTTPS til den forventede norm. For så vidt det er helt at fjerne positive indikatorer, kan nogle indikatorer, såsom EV-indikatorer, stadig give vigtig sikkerhed for besøgende under visse omstændigheder. Uanset hvad fremtiden måtte være, når global HTTPS-brug øges, vil der sandsynligvis være nogle interessante ændringer og udfordringer - så bliv ved med at tjekke tilbage med os for fremtidig information om disse og andre sikkerhedsemner.
Som altid tak for at have læst disse ord fra SSL.com, hvor vi tror a sikrere Internettet er en bedre Internettet.