HTTP en HTTPS
HTTPS is een netwerkprotocol dat door browsers wordt gebruikt om veilig te communiceren met webservers. HTTPS is een veilig alternatief voor een veel ouder protocol, genaamd Hyper Text Transfer Protocol of HTTP. HTTPS kan gebruikers beschermen, omdat het versleuteling vereist van dat alle uitgewisselde web- (of HTTP-) gegevens via een cryptografisch protocol, genaamd TLS (HTTPS is letterlijk * HTTP * over *TLS
Webgegevens versleutelen met een geheime sleutel (zoals TLS doet) verbetert de veiligheid van gebruikers door te voorkomen dat aanvallers de originele inhoud tijdens het transport kunnen lezen of wijzigen. Dergelijke netwerkaanvallen staan bekend als man-in-the-middle (MITM) -aanvallen. Onderzoekers hebben herhaaldelijk aangetoond dat MITM-aanvallers in wezen elk HTTP-verkeer kunnen lezen of wijzigen zonder dat de gebruiker hiervan op de hoogte is.
De extra beveiliging maakt HTTPS ideaal voor webapplicaties die gevoelige gegevens verwerken, en de meeste servers (bijv. Bank- of e-mailservers) zijn al geüpgraded. Helaas ondersteunen niet alle webservers het vanwege verschillende operationele beperkingen, zoals verhoogde bandbreedte, verouderde problemen, enzovoort. Omdat er potentieel gevaar is, moeten bezorgde gebruikers weten of ze browsen via een onveilige verbinding.
Voer beveiligingsindicatoren in
Browsers informeren gebruikers over de beveiligingsstatus van een webverbinding, in de vorm van afbeeldingen in de adresbalk (bijv. Het slotpictogram vóór de URL van dit artikel). Deze beveiligingsindicatoren Kan allebei negatief en gebruikers waarschuwen dat ze in gevaar zijn, of positief, om hen gerust te stellen dat hun verbinding veilig is.
Beveiligingsindicatoren worden gebruikt om twee aspecten van een webverbinding te communiceren; verbindingsbeveiliging en echtheid van de externe webserver.
Verbindingsbeveiliging door middel van encryptie
Indicatoren informeren over verbindingsbeveiliging door onderscheid te maken tussen versleutelde, ongecodeerde en gemengde inhoud verbindingen. Versleutelde en niet-versleutelde sites beschermen alle of geen inhoud. Gemengde inhoud betekent dat sommige componenten van anders gecodeerde websites worden opgehaald via niet-gecodeerde kanalen.
Componenten die de inhoud van de pagina kunnen wijzigen (zoals scripts of vectoren) worden aangeroepen actieve inhoud. Componenten met vaste identiteiten (zoals statische afbeeldingen of lettertypen) worden aangeroepen passieve inhoud.
Hoewel een volledig gecodeerde internetverbinding veilig klinkt, betekent dit alleen niet dat een website veilig kan worden bezocht.
Serververificatie en digitale certificaten
Aanvallers kunnen (en doen) de inhoud van een website kopiëren en netwerkverkeer omleiden naar hun eigen kwaadaardige server, zelfs via versleutelde verbindingen. Hun server zou alleen een andere, bekende hoeven te presenteren TLS sleutel in plaats van het oorspronkelijke geheim. Omdat er geen reden is om te twijfelen aan de legitimiteit van de verbinding, zouden nietsvermoedende gebruikers dan kunnen worden overgehaald om in te loggen of andere gevoelige informatie vrij te geven.
Als reactie hierop verifiëren browsers servers door de inloggegevens van legitieme eigenaren van webservers te correleren met de unieke coderingssleutel die elke server presenteert. Op die manier delegeren browsers deze verificatie van referenties aan externe partijen, genaamd Certificaatautoriteiten (CA's). Grote browsers onderhouden rootprogramma's om hun eigen vertrouwen in CA's te beheren, die moeten voldoen aan strikte normen en auditvereisten om door de browser te worden vertrouwd.
Een webservereigenaar die een certificaat aanvraagt bij een vertrouwde CA, zoals SSL.com, moet een geldige openbare sleutel overleggen en bewijzen dat hij de domeinnaam en de server waarnaar hij verwijst beheert. Als deze controles succesvol zijn, geeft de CA een digitaal certificaat af aan de eigenaar, die deze gebruikt om zowel verbindingen met zijn site te versleutelen als te verifiëren.
Certificaten zijn digitale identiteiten die informatie bevatten over de persoon of organisatie die eigenaar is van een server. CA's ondertekenen elk certificaat cryptografisch met een digitale handtekening, een integriteitsmechanisme dat analoog is aan lakzegels - aanvallers kunnen de handtekening niet dupliceren en ze zouden deze ongeldig moeten maken voordat de inhoud kan worden gewijzigd. HTTPS vereist een webserver om een browserverbinding te begroeten met het geldige certificaat van die server. De browser controleert vervolgens het certificaat - als het is ondertekend door een vertrouwde CA, kan de verbinding worden voortgezet. (Als een server een ander, ingetrokken of anderszins ongeldig certificaat presenteert, verbreekt of verbiedt de browser de verbinding en waarschuwt de gebruiker met behulp van foutmeldingen die we in een toekomstig artikel in detail zullen bespreken).
Validatieniveaus
Opgemerkt moet worden dat niet alle certificaten hetzelfde beveiligingsniveau bieden en dat beveiligingsindicatoren onderscheid kunnen maken tussen de verschillende certificaattypen die zijn uitgegeven voor verschillende validatieniveaus.
CA's probleem Domein gevalideerd (DV) certificaten aan klanten die de controle over een DNS-domein hebben aangetoond. Organisatie gevalideerd (OV) certificaten worden gecontroleerd om te verifiëren of een organisatie een juridische entiteit is, evenals domeincontrole. Tenslotte, Uitgebreid gevalideerd (EV) certificaten - die bedrijfsinformatie in de browserbalk zelf kunnen weergeven - zijn gereserveerd voor klanten die meerdere onafhankelijke verificatiecontroles hebben doorstaan (inclusief menselijk contact, verwijzing naar gekwalificeerde databases en vervolgbeoordelingen), evenals de OV- en DV -niveau stappen.
Huidige status van indicatoren
In de begindagen van internet was HTTP de norm en werd HTTPS geïntroduceerd als een optie voor de meest veiligheidsbewusten. Als gevolg hiervan werden de meeste browsers alleen gebruikt positief indicatoren, dwz een slot dat een HTTPS-verbinding aangeeft, en (optioneel) of die verbinding een EV-certificaat gebruikt. Om het beveiligingsbewustzijn breder te promoten, is Chrome, samen met Firefox en Safari, ook begonnen met het gebruik van negatief indicatoren, die gebruikers van pagina's waarschuwen met niet-versleutelde of gemengde pagina's met actieve inhoud. De volgende tabel is een samenvatting van de algemene status van beveiligingsindicatoren in browsers. Te beginnen met HTTP (wat helemaal niet veilig is) is elk item verderop in de lijst veiliger dan de vorige.
(Klik op afbeelding om te vergroten)
Aankomende veranderingen en plannen voor de toekomst
Het bruikbare beveiligingsteam van Chrome heeft een voorstel voor het wijzigen van dit browsergedrag. Ze suggereren dat alle browsers gebruikers actief moeten waarschuwen tegen onveilige HTTP (of HTTPS-websites met gemengde inhoud), met negatieve indicatoren, terwijl ze proberen positieve beveiligingsindicatoren van HTTPS-websites helemaal te verwijderen.
Ze baseren hun beslissing op onderzoek dat was gepubliceerd in 2007, waarin staat dat positieve veiligheidsindicatoren door gebruikers worden genegeerd, in tegenstelling tot negatieve indicatoren die als ernstiger worden ervaren. Chrome heeft in hun oorspronkelijke voorstel ook aangevoerd dat "gebruikers mogen verwachten dat internet standaard veilig is en dat ze worden gewaarschuwd wanneer er een probleem is".
Met een abonnement op dit idee, vanaf september 2018, geven nieuwere Chrome-versies (69+) een negatieve indicator "Niet veilig" weer op alle HTTP-websites en niet de positieve indicator "Veilig" voor HTTPS.
Mozilla's Firefox (sinds versie 58+) is een van de twee andere browsers die negatieve beveiligingsindicatoren hebben aangenomen, maar alleen voor sites met gemengde actieve inhoud. Bovendien, in een officiële blogpost, hebben ze hun toekomstplannen aangekondigd voor UI-beveiligingsindicatoren in Firefox: "Firefox zal uiteindelijk het doorgestreepte slotpictogram weergeven voor alle pagina's die geen HTTPS gebruiken, om duidelijk te maken dat ze niet veilig zijn".
Apple's Safari (technische release 46+) is de overgebleven browser die negatieve indicatoren gebruikt voor websites met gemengde actieve inhoud, hoewel ze geen openbare verklaringen hebben afgelegd over hun plannen voor veiligheidsindicatoren in de toekomst.
De Edge- en Opera-browsers van Microsoft hebben niet publiekelijk gesproken over hun plannen over UI-beveiligingsindicatoren.
Conclusie
Veilig zijn op internet moet standaard zijn, en actieve browserwaarschuwingen voor onveilige HTTP-verbindingen zouden een grote motivatie kunnen zijn voor sommige legacy webserver-eigenaren om aandacht te besteden aan de veiligheid van hun sites en hun bezoekers. Bovendien is het verwijderen van de 'Secure'-indicator van HTTPS-websites (aantoonbaar) een stap om van HTTPS de verwachte norm te maken. Wat betreft het volledig verwijderen van positieve indicatoren, kunnen sommige indicatoren, zoals EV-indicatoren, onder bepaalde omstandigheden nog steeds belangrijke zekerheid bieden aan bezoekers. Wat de toekomst ook mag zijn, naarmate het wereldwijde HTTPS-gebruik toeneemt, zullen er ongetwijfeld enkele interessante veranderingen en uitdagingen zijn - dus blijf bij ons terugkomen voor toekomstige informatie over deze en andere beveiligingsonderwerpen.
Zoals altijd, bedankt voor het lezen van deze woorden van SSL.com, waar we geloven dat een veiliger Internet is een beter Internet.