HTTP und HTTPS
HTTPS ist ein Netzwerkprotokoll, mit dem Browser sicher mit Webservern kommunizieren. HTTPS ist eine sichere Alternative zu einem viel älteren Protokoll, dem Hyper Text Transfer Protocol oder HTTP. HTTPS kann Benutzer schützen, da es die Verschlüsselung erfordert, dass alle ausgetauschten Web- (oder HTTP-) Daten über ein kryptografisches Protokoll namens aufgerufen werden TLS (HTTPS ist buchstäblich * HTTP * über *TLS*).
Verschlüsseln von Webdaten mit einem geheimen Schlüssel (wie z TLS verbessert die Benutzersicherheit, indem verhindert wird, dass Angreifer den ursprünglichen Inhalt während der Übertragung lesen oder ändern. Solche Netzwerkangriffe sind bekannt als Man-in-the-Middle-Angriffe (MITM). Forscher haben wiederholt gezeigt, dass MITM-Angreifer im Wesentlichen jeden HTTP-Verkehr lesen oder ändern können, ohne dass der Benutzer davon erfährt.
Die zusätzliche Sicherheit macht HTTPS ideal für Webanwendungen, die vertrauliche Daten verarbeiten, und die meisten Server (z. B. Bank- oder E-Mail-Server) wurden bereits aktualisiert. Leider unterstützen dies nicht alle Webserver aufgrund verschiedener betrieblicher Einschränkungen, wie z. B. erhöhter Bandbreite, Legacy-Problemen usw. Da eine potenzielle Gefahr besteht, müssen betroffene Benutzer wissen, ob sie über eine unsichere Verbindung surfen.
Sicherheitsindikatoren eingeben
Browser informieren Benutzer über den Sicherheitsstatus einer Webverbindung in Form von Grafiken in der Adressleiste (z. B. das Schlosssymbol vor der URL dieses Artikels). Diese Sicherheitsindikatoren Kann beides sein Negativ und Benutzer warnen, dass sie in potenzieller Gefahr sind, oder positiv, um ihnen zu versichern, dass ihre Verbindung sicher ist.
Sicherheitsindikatoren werden verwendet, um zwei Aspekte einer Webverbindung zu kommunizieren. Verbindungssicherheit und der Authentizität des Remote-Webservers.
Verbindungssicherheit durch Verschlüsselung
Indikatoren informieren über die Verbindungssicherheit, indem sie zwischen unterscheiden verschlüsselt, unverschlüsselt und dem gemischter Inhalt Verbindungen. Verschlüsselte und unverschlüsselte Websites schützen entweder den gesamten oder keinen Inhalt. Gemischter Inhalt bedeutet, dass einige Komponenten von ansonsten verschlüsselten Websites über unverschlüsselte Kanäle abgerufen werden.
Komponenten, die den Inhalt der Seite ändern können (z. B. Skripte oder Vektoren), werden aufgerufen aktiver Inhalt. Komponenten mit festen Identitäten (wie statische Bilder oder Schriftarten) werden aufgerufen passiver Inhalt.
Obwohl eine vollständig verschlüsselte Webverbindung sicher klingt, bedeutet dies allein nicht, dass das Durchsuchen einer Website sicher ist.
Serverauthentifizierung und digitale Zertifikate
Angreifer können (und tun) den Inhalt einer Website kopieren und den Netzwerkverkehr auf ihren eigenen bösartigen Server umleiten, selbst über verschlüsselte Verbindungen. Ihr Server müsste nur einen anderen, bekannten präsentieren TLS Schlüssel anstelle des ursprünglichen Geheimnisses. Ohne Grund, an der Legitimität der Verbindung zu zweifeln, könnten ahnungslose Benutzer dazu gebracht werden, sich anzumelden oder andere vertrauliche Informationen offenzulegen.
Als Reaktion darauf authentifizieren Browser Server, indem sie die Anmeldeinformationen legitimer Webserverbesitzer mit dem eindeutigen Verschlüsselungsschlüssel korrelieren, den jeder Server präsentiert. Auf diese Weise delegieren Browser diese Überprüfung der Anmeldeinformationen an Entitäten von Drittanbietern, die aufgerufen werden Zertifizierungsstellen (Zertifizierungsstellen). Die gängigen Browser verwalten Root-Programme, um ihr eigenes Vertrauen in Zertifizierungsstellen zu verwalten. Diese müssen strenge Standards und Prüfanforderungen einhalten, um vom Browser als vertrauenswürdig eingestuft zu werden.
Ein Webserverbesitzer, der ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle wie SSL.com anfordert, muss einen gültigen öffentlichen Schlüssel vorlegen und nachweisen, dass er den Domänennamen und den Server kontrolliert, auf den er verweist. Wenn diese Überprüfungen erfolgreich sind, stellt die Zertifizierungsstelle dem Eigentümer ein digitales Zertifikat aus, das es zum Verschlüsseln und Authentifizieren von Verbindungen zu ihrem Standort verwendet.
Zertifikate sind digitale Identitäten, die Informationen über die Person oder Organisation enthalten, die einen Server besitzt. Zertifizierungsstellen signieren jedes Zertifikat kryptografisch mit einer digitalen Signatur, einem Integritätsmechanismus analog zu Wachssiegeln. Angreifer können die Signatur nicht duplizieren und müssten sie vor dem Ändern des Inhalts ungültig machen. Für HTTPS muss ein Webserver eine Browserverbindung mit dem gültigen Zertifikat dieses Servers begrüßen. Der Browser überprüft dann das Zertifikat. Wenn es von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde, kann die Verbindung fortgesetzt werden. (Wenn ein Server ein anderes, widerrufenes oder anderweitig ungültiges Zertifikat vorlegt, beendet oder verbietet der Browser die Verbindung und warnt den Benutzer mithilfe von Fehlermeldungen, die wir in einem zukünftigen Artikel ausführlich untersuchen werden.)
Validierungsstufen
Es ist zu beachten, dass nicht alle Zertifikate das gleiche Sicherheitsniveau bieten und Sicherheitsindikatoren möglicherweise zwischen den verschiedenen Zertifikatstypen unterscheiden, die für verschiedene Validierungsstufen ausgestellt wurden.
CAs Problem Domain validiert (DV) Zertifikate an Kunden, die die Kontrolle über eine DNS-Domäne nachgewiesen haben. Organisation Validated (OV) Zertifikate werden überprüft, um zu authentifizieren, dass eine Organisation eine juristische Person ist, sowie die Domänenkontrolle. Schließlich, Extended Validated (EV) Zertifikate, mit denen Unternehmensinformationen in der Browserleiste selbst angezeigt werden können, sind Kunden vorbehalten, die mehrere unabhängige Überprüfungen (einschließlich Kontakt von Mensch zu Mensch, Verweis auf qualifizierte Datenbanken und Nachprüfungen) sowie der OV- und DV-Prüfung bestanden haben Stufen.
Aktueller Status der Indikatoren
In den frühen Tagen des Internets war HTTP die Norm und HTTPS wurde als Option für die Sicherheitsorientiertesten eingeführt. Infolgedessen werden die meisten Browser nur verwendet positiv Indikatoren, dh eine Sperre, die eine HTTPS-Verbindung anzeigt, und (optional), ob diese Verbindung ein EV-Zertifikat verwendet. Um das Sicherheitsbewusstsein allgemeiner zu fördern, hat Chrome heute zusammen mit Firefox und Safari begonnen, die Verwendung von zu übernehmen Negativ Indikatoren, die Benutzer vor Seiten mit unverschlüsselten oder gemischten Seiten mit aktiven Inhalten warnen. Die folgende Tabelle enthält eine Zusammenfassung des allgemeinen Status der Sicherheitsindikatoren in Browsern. Beginnend mit HTTP (das überhaupt nicht sicher ist) ist jedes Element weiter unten in der Liste sicherer als die vorherigen.
(Klicken Sie auf das Bild, um es zu vergrößern)
Bevorstehende Änderungen und Pläne für die Zukunft
Das Chrome Usable Security-Team hat eine Angebot zum Ändern dieses Browserverhaltens. Sie schlagen vor, dass alle Browser Benutzer aktiv vor unsicheren HTTP-Websites (oder HTTPS-Websites mit gemischtem Inhalt) mit negativen Indikatoren warnen sollten, während sie versuchen, positive Sicherheitsindikatoren vollständig von HTTPS-Websites zu entfernen.
Sie stützen ihre Entscheidung auf die Forschung, die war in 2007 veröffentlichtDies besagt, dass positive Sicherheitsindikatoren von den Benutzern ignoriert werden, im Gegensatz zu negativen Indikatoren, die als schwerwiegender empfunden werden. Chrome hat in seinem ursprünglichen Vorschlag auch argumentiert, dass "Benutzer erwarten sollten, dass das Web standardmäßig sicher ist, und dass sie gewarnt werden, wenn ein Problem auftritt".
Neuere Chrome-Versionen (2018+), die diese Idee ab September 69 abonniert haben, zeigen auf allen HTTP-Websites einen negativen Indikator "Nicht sicher" und nicht den positiven Indikator "Sicher" für HTTPS an.
Mozillas Firefox (seit Version 58+) ist einer der beiden anderen Browser, die negative Sicherheitsindikatoren eingeführt haben, jedoch nur für Websites mit gemischtem aktivem Inhalt. Darüber hinaus in einem offizieller BlogbeitragSie haben ihre zukünftigen Pläne für UI-Sicherheitsindikatoren in Firefox angekündigt: "Firefox wird schließlich das durchgestrichene Schlosssymbol für alle Seiten anzeigen, die kein HTTPS verwenden, um zu verdeutlichen, dass sie nicht sicher sind."
Apples Safari (Tech Release 46+) ist der verbleibende Browser, der negative Indikatoren für Websites mit gemischten aktiven Inhalten verwendet, obwohl sie keine öffentlichen Erklärungen zu ihren Plänen für Sicherheitsindikatoren für die Zukunft abgegeben haben.
Die Edge- und Opera-Browser von Microsoft haben nicht öffentlich über ihre Pläne zu Sicherheitsindikatoren für die Benutzeroberfläche gesprochen.
Schlussfolgerung
Im Internet sicher sein sollte Dies ist die Standardeinstellung, und aktive Browser-Warnungen vor unsicheren HTTP-Verbindungen können einige ältere Webserver-Besitzer motivieren, auf die Sicherheit ihrer Websites und ihrer Besucher zu achten. Darüber hinaus ist das Entfernen des Indikators „Sicher“ von HTTPS-Websites (wohl) ein Schritt, um HTTPS zur erwarteten Norm zu machen. Soweit positive Indikatoren vollständig entfernt werden, können einige Indikatoren, wie z. B. EV-Indikatoren, den Besuchern unter bestimmten Umständen noch wichtige Sicherheit bieten. Was auch immer die Zukunft sein mag, mit zunehmender globaler HTTPS-Nutzung wird es sicherlich einige interessante Änderungen und Herausforderungen geben. Schauen Sie also immer wieder bei uns vorbei, um zukünftige Informationen zu diesen und anderen Sicherheitsthemen zu erhalten.
Wie immer, danke, dass Sie diese Worte von SSL.com gelesen haben, wo wir glauben, dass a Sicherheit Internet ist ein leben Internet.