HTTP ja HTTPS
HTTPS on verkkoprotokollaselaimet, joiden avulla voidaan turvallisesti kommunikoida web-palvelimien kanssa. HTTPS on turvallinen vaihtoehto paljon vanhemmalle protokollelle, nimeltään Hyper Text Transfer Protocol tai HTTP. HTTPS voi suojata käyttäjiä, koska se vaatii salauksen, että kaikki vaihdetut web- (tai HTTP) tiedot tapahtuvat salaustekniikan kautta, jota kutsutaan TLS (HTTPS on kirjaimellisesti * HTTP * yli *TLS*).
Web-tietojen salaaminen salaisella avaimella (kuten TLS tekee) parantaa käyttäjän turvallisuutta estämällä hyökkääjiä lukemasta tai muuttamasta alkuperäistä sisältöä kuljetuksen aikana. Tällaisia verkkohyökkäyksiä tunnetaan nimellä keskitason (MITM) hyökkäykset. Tutkijat ovat toistuvasti osoittaneet, että MITM-hyökkääjät voivat pohjimmiltaan lukea tai muokata mitä tahansa HTTP-liikennettä käyttäjän tietämättä siitä.
Lisätty tietoturva tekee HTTPS: stä ihanteellisen arkaluonteisia tietoja käsitteleville verkkosovelluksille, ja suurin osa palvelimista (esim. Pankki- tai sähköpostipalvelimet) on jo päivitetty. Valitettavasti kaikki verkkopalvelimet eivät tue sitä, johtuen useista operatiivisista rajoituksista, kuten lisääntyneestä kaistanleveydestä, vanhoista ongelmista ja niin edelleen. Koska olemassa on vaara, huolestuneiden käyttäjien on tiedettävä, selaavatko he epävarman yhteyden kautta.
Syötä suojausindikaattorit
Selaimet ilmoittavat käyttäjille verkkoyhteyden suojaustilasta osoiterivillä näkyvien grafiikoiden muodossa (esim. Lukituskuvake ennen tämän artikkelin URL-osoitetta). Nämä turvallisuusindikaattorit voi olla joko negatiivinen ja varoittaa käyttäjiä mahdollisesta vaarasta, tai positiivinen, jotta heidän yhteys olisi turvallinen.
Suojausindikaattoreita käytetään verkkoyhteyden kahden aspektin kommunikointiin; yhteyden suojaus ja aitous etäpalvelimesta.
Yhteyden suojaus salauksen avulla
Indikaattorit ilmoittavat yhteyden turvallisuudesta erottamalla toisistaan salattu, salaamaton ja sekoitettu sisältö liitännät. Salatut ja salaamattomat sivustot suojaavat joko kaiken tai kokonaan sisällön. Sekoitettu sisältö tarkoittaa, että jotkut muuten salatut verkkosivustot noudetaan salaamattomien kanavien kautta.
Komponentteja, jotka voivat muokata sivun sisältöä (kuten skriptejä tai vektoreita) kutsutaan aktiivinen sisältö. Komponentteja, joilla on kiinteä identiteetti (kuten staattiset kuvat tai fontit), kutsutaan passiivinen sisältö.
Vaikka täysin salattu verkkoyhteys kuulostaa turvalliselta, se ei yksin tarkoita sitä, että verkkosivusto olisi turvallisesti selattava.
Palvelimen todennus ja digitaaliset varmenteet
Hyökkääjät voivat kopioida (ja tehdä) verkkosivuston sisällön ja ohjata verkkoliikenteen omalle haitalliselle palvelimelle jopa salattujen yhteyksien kautta. Heidän palvelimensa olisi vain esitettävä erilainen, tunnettu TLS avain alkuperäisen salaisuuden sijaan. Koska ei ole syytä epäillä yhteyden laillisuutta, häiriöttömiä käyttäjiä voidaan sitten saada taivuttamaan kirjautumaan sisään tai paljastamaan muita arkaluontoisia tietoja.
Vastauksena selaimet todentavat palvelimet korreloimalla laillisten web-palvelimien omistajien käyttöoikeustiedot yksilöllisellä salausavaimella, joka kullakin palvelimella on. Tällä tavalla selaimet delegoivat tämän käyttöoikeustarkistuksen kolmansien osapuolien nimiin Varmentajaviranomaiset (CA). Suurimmat selaimet ylläpitävät juuriohjelmia hallitakseen omaa luottamusansa CA: iin, joiden on noudatettava tiukkoja standardeja ja tarkastusvaatimuksia, jotta selain voi luottaa.
Verkkopalvelimen omistajan, joka pyytää varmennetta luotetulta CA: lta, kuten SSL.com, on esitettävä voimassa oleva julkinen avain ja todistettava, että hän hallitsee verkkotunnusta ja palvelinta, johon se osoittaa. Jos nämä tarkistukset onnistuvat, varmentaja myöntää digitaalisen varmenteen omistajalle, joka käyttää sitä sekä salaamaan että todentamaan yhteydet sivustoonsa.
Sertifikaatit ovat digitaalisia identiteettejä, jotka sisältävät tietoja palvelimen omistavasta henkilöstä tai organisaatiosta. Varmentajat salaavat jokaisen varmenteen salauksella digitaalisella allekirjoituksella, eheysmekanismilla, joka on samanlainen kuin vahatiivisteet - hyökkääjät eivät voi kopioida allekirjoitusta, ja heidän on mitätöitävä se ennen sisällön muokkaamista. HTTPS vaatii verkkopalvelimen tervehtimään selainyhteyttä kyseisen palvelimen voimassa olevalla varmenteella. Selaimet tarkistavat sitten varmenteen - jos sen on allekirjoittanut luotettava varmentaja, yhteys voi jatkua. (Jos palvelin esittelee toisen, peruutetun tai muuten virheellisen varmenteen, selain lopettaa tai estää yhteyden ja varoittaa käyttäjää virhesanomilla, joita tarkastelemme yksityiskohtaisesti tulevassa artikkelissa.)
Validointitasot
On huomattava, että kaikki sertifikaatit eivät tarjoa samaa turvatasoa, ja turvallisuusindikaattorit voivat erottaa toisistaan eri validointitasoille myönnetyt sertifikaattityypit.
Varmentajat myöntävät Verkkotunnus vahvistettu (DV) varmenteet asiakkaille, jotka ovat osoittaneet hallitsevansa DNS-verkkotunnusta. Organisaatio validoitu (OV) varmenteet tarkistetaan todentamaan organisaatio on oikeushenkilö, samoin kuin verkkotunnuksen hallinta. Lopuksi, Laajennettu validoitu (EV) varmenteet - jotka voivat näyttää yritystiedot itse selainpalkissa - on varattu asiakkaille, jotka ovat läpäisseet useita riippumattomia tarkistustarkastuksia (mukaan lukien ihmisten välinen yhteys, viittaukset päteviin tietokantoihin ja seurantakatselmuksiin) sekä OV- ja DV-laitteet -tason vaiheet.
Indikaattorien nykytila
Internetin alkuaikoina HTTP oli normi ja HTTPS otettiin käyttöön vaihtoehtona kaikkein turvallisimmallisimmalle. Tämän seurauksena suurin osa selaimista käytti vain positiivinen ilmaisimet, ts. lukko, joka näyttää HTTPS-yhteyden, ja (valinnaisesti) käyttääkö tämä yhteys EV-varmennetta. Tietoturvatietoisuuden lisäämiseksi laajemmin Chrome on tänään yhdessä Firefoxin ja Safarin kanssa alkanut käyttää myös negatiivinen ilmaisimet, varoittavat käyttäjiä sivuilta, joissa on salaamaton tai sekoitettu aktiivinen sisältösivu. Seuraava taulukko on yhteenveto selainten turvallisuusindikaattorien yleisestä tilasta. Alkaen HTTP: ltä (joka ei ole lainkaan suojattu) kukin luettelossa oleva kohta on varmempaa kuin aikaisemmat.
(Napsauta kuvaa suurentaaksesi)
Tulevat muutokset ja tulevaisuuden suunnitelmat
Chromen Usable Security -tiimi on julkaissut a ehdotus tämän selaimen käyttäytymisen muuttamiseksi. He ehdottavat, että kaikkien selainten tulisi alkaa varoittaa käyttäjiä aktiivisista vaarallisista HTTP (tai sekoitetun sisällön HTTPS) verkkosivustoista negatiivisilla indikaattoreilla, kun he yrittävät poistaa positiiviset suojausindikaattorit HTTPS-verkkosivustoilta kokonaan.
He perustavat päätöksensä tutkimukseen, joka oli julkaistu 2007, jossa todetaan, että käyttäjät eivät ota huomioon positiivisia turvaindikaattoreita, toisin kuin negatiivisempia indikaattoreita, joiden koetaan vakavammiksi. Chrome on myös esittänyt alkuperäisessä ehdotuksessaan, että "käyttäjien pitäisi olettaa, että verkko on oletuksena turvallinen, ja heitä varoitetaan ongelmasta".
Tilattu tähän ajatukseen syyskuusta 2018 alkaen uudemmissa Chrome-versioissa (69+) näkyy "Not Secure"-negatiivinen indikaattori kaikilla HTTP-verkkosivustoilla, eivätkä ne näytä "Secure"-positiivista indikaattoria HTTPS: lle.
Mozillan Firefox (versiosta 58+ lähtien) on yksi kahdesta muusta selaimesta, jotka ovat ottaneet käyttöön negatiiviset suojausindikaattorit, mutta vain sivustoille, joissa on sekalaista aktiivista sisältöä. Lisäksi virallinen blogikirjoitus, he ovat ilmoittaneet tulevista suunnitelmistaan käyttöliittymän suojausindikaattoreille Firefoxissa: "Firefox näyttää lopulta läpileikkautuneen lukituskuvakkeen kaikille sivuille, jotka eivät käytä HTTPS: ää, selvittääkseen, etteivät ne ole suojattuja".
Applen Safari (tekninen julkaisu 46+) on jäljellä oleva selain, joka käyttää negatiivisia indikaattoreita verkkosivustoille, joissa on sekalaista aktiivista sisältöä, vaikka he eivät ole antaneet julkisia lausuntoja suunnitelmistaan turvaindikaattoreille tulevaisuudessa.
Microsoftin Edge- ja Opera-selaimet eivät ole puhuneet julkisesti suunnitelmistaan käyttöliittymän suojausindikaattoreista.
Yhteenveto
Turvallisuus Internetissä shouldnt oletusarvo, ja aktiiviset selainvaroitukset epävarmoista HTTP-yhteyksistä voivat tarjota hyviä motivaatioita joillekin vanhoille verkkopalvelinten omistajille kiinnittämään huomiota sivustojensa ja vierailijoidensa turvallisuuteen. Lisäksi "Secure" -indikaattorin poistaminen HTTPS-verkkosivustoilta on (epäilemättä) askel kohti HTTPS: n asettamista odotetuksi normiksi. Jotkin indikaattorit, kuten EV-indikaattorit, poistavat kokonaan positiiviset indikaattorit kokonaan, voivat silti tarjota tärkeää varmuutta vierailijoille joissakin olosuhteissa. Olipa tulevaisuus mikä tahansa, maailmanlaajuisen HTTPS-käytön lisääntyessä on varmasti mielenkiintoisia muutoksia ja haasteita - joten tarkista jatkossa meiltä saadaksesi lisätietoja näistä ja muista tietoturva-aiheista.
Kuten aina, kiitos, että luit nämä sanat SSL.com: sta, jossa uskomme a turvallisempaa Internet on paremmin Internet.
