HTTP og HTTPS
HTTPS er en nettverksprotokoll nettlesere som bruker for å kommunisere sikkert med webservere. HTTPS er et sikkert alternativ til en mye eldre protokoll, kalt Hyper Text Transfer Protocol, eller HTTP. HTTPS kan beskytte brukere, fordi det krever kryptering av at all utvekslet web (eller HTTP) data er via en kryptografisk protokoll, kalt TLS (HTTPS er bokstavelig talt * HTTP * over *TLS*).
Kryptering av nettdata med en hemmelig nøkkel (som TLS gjør) forbedrer brukernes sikkerhet ved å forhindre at angripere leser eller endrer det opprinnelige innholdet under transport. Slike nettangrep er kjent som mann-i-midten-angrep (MITM). Forskere har gjentatte ganger demonstrert at MITM-angripere, i det vesentlige, kan lese eller endre enhver HTTP-trafikk, uten at brukeren vet om det.
Den ekstra sikkerheten gjør HTTPS ideell for webapplikasjoner som håndterer sensitive data, og de fleste servere (f.eks. Bank- eller e-postservere) er allerede oppgradert. Dessverre støtter ikke alle webservere det på grunn av forskjellige driftsbegrensninger, for eksempel økt båndbredde, problemer med eldre problemer og så videre. Siden det er en potensiell fare, må bekymrede brukere vite om de blar gjennom en usikker forbindelse.
Angi sikkerhetsindikatorer
Nettlesere informerer brukere om sikkerhetsstatusen til en nettforbindelse, i form av grafikk vist i adressefeltet (f.eks. Låseikonet før URLen til denne artikkelen). Disse sikkerhetsindikatorer kan være enten negativ og advare brukere om at de er i potensiell fare, eller positiv, for å forsikre dem om at forbindelsen deres er sikker.
Sikkerhetsindikatorer brukes til å kommunisere to aspekter av en nettforbindelse; tilkoblingssikkerhet og autentisitet til den eksterne webserveren.
Tilkoblingssikkerhet gjennom kryptering
Indikatorer informerer om tilkoblingssikkerhet ved å skille mellom kryptert, ukryptert og blandet innhold tilkoblinger. Krypterte og ikke-krypterte nettsteder beskytter enten alt eller intet innhold. Blandet innhold betyr at noen komponenter av ellers-krypterte nettsteder blir hentet gjennom ikke-krypterte kanaler.
Komponenter som kan endre innholdet på siden (for eksempel skript eller vektorer) kalles aktivt innhold. Komponenter med faste identiteter (som statiske bilder eller skrifter) kalles passivt innhold.
Selv om en fullstendig kryptert webtilkobling høres sikker ut, betyr ikke dette alene at et nettsted er trygt å surfe på.
Serverautentisering og digitale sertifikater
Angripere kan (og gjøre) kopiere innholdet på et nettsted og omdirigere nettverkstrafikk til sin egen ondsinnede server, selv over krypterte tilkoblinger. Serveren deres trenger bare å presentere en annen, kjent TLS tasten i stedet for den opprinnelige hemmeligheten. Har ingen grunn til å tvile på legitimiteten til forbindelsen, kan intetanende brukere deretter bli overtalt til å logge inn eller avsløre annen sensitiv informasjon.
Som svar autentiserer nettlesere servere ved å korrelere legitimasjonene til legitime webserveren eiere med den unike krypteringsnøkkelen hver server presenterer. På den måten delegerer nettlesere denne bekreftelsen til tredjepart, kalt Sertifikatmyndigheter (instanser). Store nettlesere opprettholder rotprogrammer for å administrere sin egen tillit til CAer, som må overholde strenge standarder og revisjonskrav som nettleseren skal stole på.
En webservereier som ber om et sertifikat fra en pålitelig CA, for eksempel SSL.com, må presentere en gyldig offentlig nøkkel og bevise at de kontrollerer domenenavnet og serveren det peker på. Hvis disse kontrollene lykkes, utsteder CA et digitalt sertifikat til eieren, som bruker det til å kryptere og autentisere forbindelser til nettstedet deres.
Sertifikater er digitale identiteter, som inneholder informasjon om personen eller organisasjonen som eier en server. CA signerer kryptografisk hvert sertifikat med en digital signatur, en integritetsmekanisme som er analog med voksforseglinger - angripere kan ikke duplisere signaturen, og de må ugyldiggjøre den før de endrer innholdet. HTTPS krever en webserver for å hilse på en nettlesertilkobling med serverens gyldige sertifikat. Nettleserne sjekker deretter sertifikatet - hvis det ble signert av en klarert CA, kan forbindelsen fortsette. (Hvis en server presenterer et annet, tilbakekalt eller på annen måte ugyldig sertifikat, avslutter eller avviser nettleseren forbindelsen og advarer brukeren ved hjelp av feilmeldinger som vi vil undersøke i detalj i en fremtidig artikkel).
Valideringsnivåer
Det skal bemerkes at ikke alle sertifikater tilbyr samme sikkerhetsnivå, og sikkerhetsindikatorer kan skille mellom de forskjellige sertifikattyper som er utstedt for forskjellige nivåer av validering.
CAs problemet Domenet er validert (DV) sertifikater til kunder som har vist kontroll over et DNS-domene. organisasjon Validert (OV) sertifikater blir bekreftet for å godkjenne at en organisasjon er en juridisk enhet, samt domenekontroll. Til slutt, Utvidet validert (EV) sertifikater - som kan vise bedriftsinformasjon i nettleserfeltet selv - er reservert for kunder som har bestått flere uavhengige verifiseringskontroller (inkludert kontakt mellom mennesker, referanse til kvalifiserte databaser og oppfølgingsanmeldelser) samt OV- og DV -nivå trinn.
Aktuell status for indikatorer
I de første dagene av internett var HTTP normen og HTTPS ble introdusert som et alternativ for de aller mest sikkerhetsinnstilte. Som et resultat brukte de fleste nettlesere bare positiv indikatorer, dvs. en lås som viser en HTTPS-tilkobling, og (valgfritt) om den tilkoblingen bruker et EV-sertifikat. For i dag å fremme sikkerhetsbevissthet har Chrome, sammen med Firefox og Safari, også begynt å ta i bruk bruken av negativ indikatorer som advarer brukere om sider med ikke-kryptert eller blandet aktivt innholdssider. Følgende tabell er et sammendrag for den generelle tilstanden til sikkerhetsindikatorer i nettlesere. Fra og med HTTP (som ikke er sikkert i det hele tatt) er hvert element lenger langs listen sikrere enn de forrige.
(Klikk på bildet for å forstørre)
Kommende endringer og planer for fremtiden
Chromes brukbare sikkerhetsteam har gitt ut en forslag for å endre denne nettleserens oppførsel. De foreslår at alle nettlesere bør begynne å aktivt advare brukere mot usikre HTTP-nettsteder (eller blandet innhold HTTPS), med negative indikatorer, mens de prøver å fjerne positive sikkerhetsindikatorer fra HTTPS-nettsteder helt.
De baserer sin beslutning på forskning som var publisert i 2007, som sier at positive sikkerhetsindikatorer ignoreres av brukerne, i motsetning til negative indikatorer som oppleves som mer alvorlige. Chrome har også hevdet i sitt opprinnelige forslag at "brukere bør forvente at nettet er trygt som standard, og de vil bli advart når det er et problem".
Abonnert på denne ideen, fra og med september 2018, viser nyere Chrome-versjoner (69+) en "Ikke sikker" negativ indikator på alle HTTP-nettsteder, og viser ikke den "sikre" positive indikatoren for HTTPS.
Mozillas Firefox (siden versjon 58+) er en av de to andre nettleserne som har tatt i bruk negative sikkerhetsindikatorer, men bare for nettsteder med blandet aktivt innhold. Videre, i en offisielt blogginnlegg, de har kunngjort sine fremtidige planer for UI-sikkerhetsindikatorer i Firefox: "Firefox vil til slutt vise det gjennomstrekkede låsikonet for alle sider som ikke bruker HTTPS, for å gjøre det klart at de ikke er sikre".
Apples Safari (teknisk utgivelse 46+) er den gjenværende nettleseren som bruker negative indikatorer for nettsteder med blandet aktivt innhold, selv om de ikke har kommet med noen offentlige uttalelser om planene for sikkerhetsindikatorer i fremtiden.
Microsofts Edge- og Opera-nettlesere har ikke snakket offentlig om planene sine om UI-sikkerhetsindikatorer.
konklusjonen
Å være trygg på Internett bør være standard, og aktive nettleservarsler mot usikre HTTP-tilkoblinger kan gi stor motivasjon for noen eldre webservereiere til å ta hensyn til sikkerheten til nettstedene og besøkende. Videre er det (uten tvil) å fjerne “Secure” -indikatoren fra HTTPS-nettsteder et skritt mot å gjøre HTTPS til den forventede normen. Så langt som å fjerne positive indikatorer, kan noen indikatorer, for eksempel EV-indikatorer, fremdeles gi viktig sikkerhet for besøkende i noen tilfeller. Uansett hva fremtiden måtte være, vil global HTTPS-bruk øke, det vil sikkert være noen interessante endringer og utfordringer - så fortsett å sjekke tilbake med oss for fremtidig informasjon om disse og andre sikkerhetsemner.
Som alltid, takk for at du har lest disse ordene fra SSL.com, der vi tror a sikrere Internett er et bedre Internett.