HTTP és HTTPS
HTTPS egy olyan hálózati protokoll, amelyet a böngészők használnak a webszerverekkel való biztonságos kommunikációhoz. A HTTPS biztonságos alternatívája egy sokkal régebbi protokollnak, amelyet Hyper Text Transfer Protocol vagy HTTP-nek hívnak. A HTTPS megvédi a felhasználókat, mert titkosítást igényel, hogy minden kicserélt webes (vagy HTTP) adat egy kriptográfiai protokollon keresztül, úgynevezett TLS (A HTTPS szó szerint * HTTP * * felett *TLS,
Webes adatok titkosítása titkos kulccsal (például TLS javítja a felhasználói biztonságot azáltal, hogy megakadályozza, hogy a támadók átolvassák vagy megváltoztassák az eredeti tartalmat. Az ilyen hálózati támadásokat ember-közép (MITM) támadások. A kutatók többször kimutatták, hogy az MITM támadók lényegében bármilyen HTTP forgalmat olvashatnak vagy módosíthatnak anélkül, hogy a felhasználó tudta volna róla.
A hozzáadott biztonság miatt a HTTPS ideális az érzékeny adatokat kezelő webes alkalmazásokhoz, és a legtöbb szervert (pl. Banki vagy e-mail szerverek) már frissítettük. Sajnos nem minden webszerver támogatja ezt a különféle működési korlátozások miatt, például a megnövekedett sávszélesség, a régi kérdések és így tovább. Mivel fennáll a veszély, az érintett felhasználóknak tudniuk kell, hogy nem biztonságos kapcsolaton böngésznek-e.
Adja meg a biztonsági mutatókat
A böngészők a címsoron ábrázolt grafikák formájában tájékoztatják a felhasználókat a webes kapcsolat biztonsági állapotáról (pl. A zárolás ikonja a cikk URL-je előtt). Ezek biztonsági mutatók lehet akár negatív és figyelmeztesse a felhasználókat, hogy potenciális veszélyben vannak, vagy pozitív, hogy megnyugtassa őket, biztonságos a kapcsolat.
A biztonsági indikátorok a webkapcsolat két aspektusának kommunikálására szolgálnak; kapcsolat biztonsága és a hitelesség a távoli webszerverről.
A kapcsolat biztonsága titkosítás révén
A mutatók megkülönböztetik egymást a kapcsolatok biztonságáról titkosított, titkosítatlan és a kevert tartalom kapcsolatokat. A titkosított és nem titkosított webhelyek akár az egészet, akár egyáltalán nem védik. Vegyes tartalom azt jelenti, hogy az egyébként titkosított webhelyek egyes elemeit titkosítatlan csatornákon keresztül töltik le.
Az oldal tartalmát módosító összetevőket (például szkriptek vagy vektorok) hívjuk aktív tartalom. A rögzített identitással rendelkező komponenseket (például statikus képeket vagy betűkészleteket) meghívjuk passzív tartalom.
Bár a teljesen titkosított webes kapcsolat biztonságosnak tűnik, ez önmagában nem jelenti azt, hogy a webhely biztonságos-e a böngészéshez.
Szerver hitelesítés és digitális tanúsítványok
A támadók másolhatják (és megtehetik) egy weboldal tartalmát, és átirányíthatják a hálózati forgalmat saját rosszindulatú szerverükre, még titkosított kapcsolatokkal is. Szerverüknek csak egy másikat kell ismertetniük TLS kulcs az eredeti titok helyett. Mivel nincs oka megkérdőjelezni a kapcsolat legitimitását, a gyanútlan felhasználókat rá lehet buzdítani arra, hogy jelentkezzen be vagy tegyen közzé bármilyen más érzékeny információt.
Válaszul a böngészők hitelesítik a kiszolgálókat úgy, hogy a legitim webszerver-tulajdonosok hitelesítő adataival összekapcsolják az egyes kiszolgálók által biztosított egyedi titkosítási kulcsot. Ily módon a böngészők delegálják ezt a hitelesítő adatok ellenőrzését harmadik fél szervezeteknek, úgynevezett Tanúsító hatóságok (CA). A nagyobb böngészők gyökérprogramokat tartanak fenn a CA-k bizalmának kezelésére, amelyeknek be kell tartaniuk a szigorú szabványokat és az ellenőrzési követelményeket, hogy a böngésző megbízhasson.
A webkiszolgáló tulajdonosának, aki tanúsítványt kér egy megbízható hitelesítésszolgáltatótól, például az SSL.com-tól, érvényes nyilvános kulcsot kell bemutatnia, és be kell bizonyítania, hogy a domain nevet és az általa mutatott szervert irányítja. Ha ezek az ellenőrzések sikeresek, a CA kiad egy digitális tanúsítványt a tulajdonosnak, aki a webhelyükhöz való kapcsolatok titkosításához és hitelesítéséhez használja.
A tanúsítványok digitális identitások, amelyek információkat tartalmaznak a szerverrel rendelkező személyről vagy szervezetről. A hitelesítésszolgáltatók titkosítva írják alá az egyes tanúsítványokat digitális aláírással, a viaszpecsétekhez hasonló integritási mechanizmussal - a támadók nem tudják lemásolni az aláírást, és a tartalom módosítása előtt érvényteleníteniük kellene. A HTTPS-hez webkiszolgálóra van szükség, hogy üdvözölje a böngésző kapcsolatot az adott szerver érvényes tanúsítvánnyal. A böngészők ezt követően ellenőrzik a tanúsítványt - ha megbízható CA írta alá, akkor a kapcsolat folytatódhat. (Ha egy szerver egy másik, visszavont vagy más módon érvénytelen tanúsítványt mutat be, a böngésző megszakítja vagy letiltja a kapcsolatot, és figyelmezteti a felhasználót hibaüzenetekkel, amelyeket egy későbbi cikkünkben részletesen megvizsgálunk.)
Érvényesítési szintek
Meg kell jegyezni, hogy nem minden tanúsítvány kínál azonos biztonsági szintet, és a biztonsági indikátorok megkülönböztethetik a különböző tanúsítási típusokat, amelyek a különböző érvényesítési szintekhez adódnak ki.
A CA-k kiadják A domain érvényes (DV) tanúsítványok azoknak az ügyfeleknek, akik bizonyították a DNS-tartomány irányítását. A szervezet érvényes (OV) a tanúsítványokat ellenőrzik, hogy hitelesítsék a szervezet jogi személyiségét, valamint a tartományvezérlést. Végül, Kiterjesztett érvényes (EV) tanúsítványok - amelyek magukban a böngészősávban is képesek megjeleníteni a vállalati információkat - azoknak az ügyfeleknek vannak fenntartva, akik több független ellenőrzési ellenőrzésen (beleértve az emberektől való kapcsolattartást, a minősített adatbázisokra való hivatkozást és a nyomon követési ellenőrzéseket), valamint az OV- és DV-teszteken is túljutottak. -szintű lépések.
A mutatók jelenlegi állapota
Az internet korai napjaiban a HTTP volt a norma, a HTTPS-t pedig a legbiztonságosabb gondolkodásmód egyik opciójaként vezették be. Ennek eredményeként a legtöbb böngésző csak használt pozitív jelzők, vagyis a HTTPS-kapcsolatot mutató zár, és (opcionálisan), hogy a kapcsolat EV tanúsítványt használ-e. Ma a biztonsági tudatosság szélesebb körű előmozdítása érdekében a Chrome a Firefox és a Safari mellett együtt megkezdte a negatív jelzők, figyelmeztetve a titkosítatlan vagy vegyes aktív tartalomú oldalak felhasználóit. Az alábbi táblázat összefoglalja a böngészők biztonsági mutatóinak általános állapotát. A HTTP-vel kezdve (amely egyáltalán nem biztonságos) a lista mentén minden elem biztonságosabb, mint az előző.
(Kattintson a képre a nagyításhoz)
Közelgő változások és jövőbeli tervek
A Chrome használható biztonsági csapata kiadta a javaslat a böngésző viselkedésének megváltoztatására. Azt javasolják, hogy minden böngésző kezdje el negatív mutatókkal figyelmeztetni a felhasználókat a nem biztonságos HTTP (vagy vegyes tartalomú HTTPS) webhelyekkel szemben, miközben megpróbálják eltávolítani a pozitív biztonsági mutatókat a HTTPS webhelyektől.
Döntésüket az erre irányuló kutatásokra alapozzák megjelent 2007, kijelentve, hogy a felhasználók figyelmen kívül hagyják a pozitív biztonsági mutatókat, szemben a súlyosabbnak vélt negatív mutatókkal. A Chrome eredeti javaslatában azt is állította, hogy „a felhasználóknak alapértelmezés szerint számítaniuk kell az internet biztonságára, és figyelmeztetni fogják őket, ha probléma merül fel”.
Feliratkozva erre az ötletre, 2018 szeptemberétől az újabb Chrome-verziók (69+) „Not Secure” negatív jelzőt jelenítenek meg az összes HTTP webhelyen, és nem mutatják a „Secure” pozitív mutatót a HTTPS számára.
A Mozilla Firefox (az 58+ verzió óta) egyike a két másik böngészőnek, amelyek negatív biztonsági mutatókat fogadtak el, de csak vegyes aktív tartalmú webhelyek esetében. Továbbá egy hivatalos blogbejegyzés, bejelentették a Firefox felhasználói felületének biztonsági mutatóival kapcsolatos jövőbeli terveiket: „A Firefox végül megjeleníti az áthúzott zár ikont minden olyan oldalon, amely nem használ HTTPS-t, annak tisztázása érdekében, hogy nem biztonságosak”.
Az Apple Safari (46+ műszaki kiadás) a maradék böngésző, amely negatív mutatókat használ a vegyes aktív tartalmú webhelyek számára, bár a jövőben nem tettek nyilvános nyilatkozatot a biztonsági mutatókra vonatkozó terveikkel kapcsolatban.
A Microsoft Edge és Opera böngészői nem beszéltek nyilvánosan a felhasználói felület biztonsági mutatóiról.
Következtetés
Biztonságos az interneten kellene legyen az alapértelmezett, és a nem biztonságos HTTP-kapcsolatokkal szembeni aktív böngésző-figyelmeztetések nagy motivációt jelenthetnek néhány régi webkiszolgáló-tulajdonos számára, hogy odafigyeljenek webhelyeik és látogatóik biztonságára. Ezenkívül a „biztonságos” mutató eltávolítása a HTTPS webhelyekről (vitathatatlanul) lépés a HTTPS elvárt normává tétele felé. Ami a pozitív mutatók teljes eltávolítását illeti, egyes mutatók, például az EV-mutatók, bizonyos körülmények között még mindig fontos bizonyosságot nyújthatnak a turisták számára. Bármi legyen is a jövő, a HTTPS globális használatának növekedésével mindenképpen érdekes változások és kihívások történhetnek - ezért folytassa velünk a jövőbeni információkat ezekről és más biztonsági témákról.
Mint mindig, köszönjük, hogy elolvasta ezeket a szavakat az SSL.com-ról, ahol úgy gondoljuk, hogy a biztonságosabb Az Internet a jobb Internet.
