Spojrzenie na wskaźniki bezpieczeństwa interfejsu użytkownika przeglądarki

HTTP i HTTPS

HTTPS to przeglądarki protokołu sieciowego używane do bezpiecznego komunikowania się z serwerami sieciowymi. HTTPS jest bezpieczną alternatywą dla znacznie starszego protokołu, zwanego Hyper Text Transfer Protocol lub HTTP. HTTPS może chronić użytkowników, ponieważ wymaga szyfrowania, że ​​wszystkie wymieniane dane sieciowe (lub HTTP) są przesyłane za pośrednictwem protokołu kryptograficznego, zwanego TLS  (HTTPS jest dosłownie * HTTP * ponad *TLS,

Szyfrowanie danych internetowych za pomocą tajnego klucza (np TLS robi) poprawia bezpieczeństwo użytkownika, uniemożliwiając atakującym odczytanie lub zmianę oryginalnej treści w transporcie. Takie ataki sieciowe są znane jako ataki typu man-in-the-middle (MITM). Badacze wielokrotnie wykazali, że osoby atakujące MITM mogą w zasadzie czytać lub modyfikować dowolny ruch HTTP, bez wiedzy użytkownika na ten temat.

Dodatkowe zabezpieczenia sprawiają, że HTTPS jest idealny do aplikacji internetowych obsługujących poufne dane, a większość serwerów (np. Serwery bankowe lub e-mail) została już zaktualizowana. Niestety nie wszystkie serwery WWW obsługują tę funkcję z powodu różnych ograniczeń operacyjnych, takich jak zwiększona przepustowość, problemy ze starszymi urządzeniami i tak dalej. Ponieważ istnieje potencjalne niebezpieczeństwo, zainteresowani użytkownicy muszą wiedzieć, czy przeglądają niepewne połączenie.

Wprowadź wskaźniki bezpieczeństwa

Przeglądarki informują użytkowników o stanie bezpieczeństwa połączenia internetowego, w formie grafiki pokazanej na pasku adresu (np. Ikona kłódki przed adresem URL tego artykułu). Te wskaźniki bezpieczeństwa może być ujemny i ostrzegają użytkowników, że są potencjalnie zagrożeni, lub pozytywny, aby zapewnić ich, że ich połączenie jest bezpieczne.

Wskaźniki bezpieczeństwa służą do komunikowania dwóch aspektów połączenia internetowego; bezpieczeństwo połączenia oraz autentyczność zdalnego serwera WWW.

Bezpieczeństwo połączenia poprzez szyfrowanie

Wskaźniki informują o bezpieczeństwie połączenia poprzez rozróżnienie szyfrowane, niezaszyfrowane i mieszana zawartość znajomości. Zaszyfrowane i niezaszyfrowane witryny chronią całą lub żadną zawartość. Zawartość mieszana oznacza, że ​​niektóre elementy stron internetowych zaszyfrowanych w inny sposób są pobierane za pośrednictwem niezaszyfrowanych kanałów.

Wywoływane są komponenty, które mogą modyfikować zawartość strony (takie jak skrypty lub wektory) aktywna treść. Wywoływane są komponenty o ustalonej tożsamości (takie jak obrazy statyczne lub czcionki) zawartość pasywna.

Chociaż w pełni szyfrowane połączenie internetowe wydaje się bezpieczne, samo to nie oznacza, że ​​można bezpiecznie przeglądać strony internetowe.

Uwierzytelnianie serwera i certyfikaty cyfrowe

Atakujący mogą (i robią) kopiować zawartość strony internetowej i przekierowywać ruch sieciowy na własny złośliwy serwer, nawet za pośrednictwem szyfrowanych połączeń. Ich serwer musiałby przedstawić tylko inny, znany TLS klucz zamiast oryginalnego sekretu. Nie mając powodu, by wątpić w legalność połączenia, niczego niepodejrzewający użytkownicy mogliby zostać przekonani do zalogowania się lub ujawnienia innych poufnych informacji.

W odpowiedzi przeglądarki uwierzytelniają serwery, korelując dane uwierzytelniające legalnych właścicieli serwerów WWW z unikalnym kluczem szyfrowania, jaki przedstawia każdy serwer. W ten sposób przeglądarki przekazują tę weryfikację danych uwierzytelniających podmiotom zewnętrznym, tzw Urzędy certyfikacji (Urzędy certyfikacji). Główne przeglądarki utrzymują programy root do zarządzania zaufaniem urzędów certyfikacji, które muszą spełniać surowe standardy i wymagania audytu, aby przeglądarka mogła im zaufać.

Właściciel serwera WWW żądający certyfikatu od zaufanego urzędu certyfikacji, takiego jak SSL.com, musi przedstawić prawidłowy klucz publiczny i udowodnić, że kontroluje nazwę domeny i serwer, na który wskazuje. Jeśli te testy zakończą się powodzeniem, urząd certyfikacji wydaje certyfikat cyfrowy właścicielowi, który używa go zarówno do szyfrowania, jak i uwierzytelniania połączeń z ich witryną.

Certyfikaty to tożsamości cyfrowe zawierające informacje o osobie lub organizacji będącej właścicielem serwera. Urzędy certyfikacji w sposób kryptograficzny podpisują każdy certyfikat podpisem cyfrowym, co jest mechanizmem integralności analogicznym do pieczęci woskowych - atakujący nie mogą powielić podpisu i musieliby go unieważnić przed modyfikacją treści. HTTPS wymaga, aby serwer WWW witał połączenie przeglądarki za pomocą ważnego certyfikatu tego serwera. Przeglądarki następnie sprawdzają certyfikat - jeśli został podpisany przez zaufany CA, połączenie może być kontynuowane. (Jeśli serwer przedstawia inny, unieważniony lub w inny sposób nieprawidłowy certyfikat, przeglądarka przerywa lub blokuje połączenie i ostrzega użytkownika za pomocą komunikatów o błędach, które szczegółowo przeanalizujemy w przyszłym artykule).

Poziomy walidacji

Należy zauważyć, że nie wszystkie certyfikaty zapewniają ten sam poziom bezpieczeństwa, a wskaźniki bezpieczeństwa mogą rozróżniać różne typy certyfikatów wydawanych dla różnych poziomów walidacji.

Problem z urzędami certyfikacji Domena sprawdzona (DV) certyfikaty dla klientów, którzy wykazali kontrolę nad domeną DNS. organizacja Zatwierdzone (OV) certyfikaty są weryfikowane w celu uwierzytelnienia organizacji jako osoby prawnej, a także kontroli domeny. Wreszcie, Rozszerzony sprawdzony (EV) certyfikaty - które mogą wyświetlać informacje o firmie w samym pasku przeglądarki - są zarezerwowane dla klientów, którzy przeszli wiele niezależnych kontroli weryfikacyjnych (w tym kontakt międzyludzki, odniesienia do kwalifikowanych baz danych i dalsze przeglądy), a także OV- i DV -poziomowe kroki.

Aktualny status wskaźników

We wczesnych czasach Internetu HTTP był normą, a HTTPS został wprowadzony jako opcja dla najbardziej dbających o bezpieczeństwo. W rezultacie większość przeglądarek była używana pozytywny wskaźniki, tj. blokada pokazująca połączenie HTTPS i (opcjonalnie) czy to połączenie używa certyfikatu EV. Dzisiaj, aby szerzej promować świadomość bezpieczeństwa, Chrome, wraz z Firefox i Safari, również zaczęły korzystać z ujemny wskaźniki ostrzegające użytkowników o stronach z niezaszyfrowanymi lub mieszanymi stronami z aktywną treścią. Poniższa tabela jest podsumowaniem ogólnego stanu wskaźników bezpieczeństwa w przeglądarkach. Począwszy od HTTP (który wcale nie jest bezpieczny), każdy element na liście jest bezpieczniejszy niż poprzednie.

 

(Kliknij na zdjęcie, aby powiększyć)

Nadchodzące zmiany i plany na przyszłość

Zespół Chrome Usable Security wydał wniosek do zmiany tego zachowania przeglądarki. Sugerują, że wszystkie przeglądarki powinny zacząć aktywnie ostrzegać użytkowników przed niebezpiecznymi witrynami HTTP (lub mieszanymi treściami HTTPS), z negatywnymi wskaźnikami, podczas gdy starają się całkowicie usunąć pozytywne wskaźniki bezpieczeństwa z witryn HTTPS.

Opierają swoją decyzję na badaniach, które były opublikowane w 2007, stwierdzając, że pozytywne wskaźniki bezpieczeństwa są ignorowane przez użytkowników, w przeciwieństwie do negatywnych wskaźników, które są postrzegane jako poważniejsze. Chrome argumentował również w swojej pierwotnej propozycji, że „użytkownicy powinni oczekiwać, że sieć jest domyślnie bezpieczna i zostaną ostrzeżeni, gdy wystąpi problem”.

Zasubskrybowano ten pomysł, począwszy od września 2018 r., Nowsze wersje Chrome (69+) wyświetlają negatywny wskaźnik „Niezabezpieczone” we wszystkich witrynach HTTP i nie będą pokazywać pozytywnego wskaźnika „Bezpieczne” dla HTTPS.

Mozilla Firefox (od wersji 58+) jest jedną z dwóch innych przeglądarek, które przyjęły negatywne wskaźniki bezpieczeństwa, ale tylko dla witryn z mieszaną aktywną zawartością. Ponadto w pliku oficjalny post na blogu, ogłosili swoje przyszłe plany dotyczące wskaźników bezpieczeństwa interfejsu użytkownika w przeglądarce Firefox: „Firefox ostatecznie wyświetli przekreśloną ikonę kłódki dla wszystkich stron, które nie używają protokołu HTTPS, aby wyraźnie zaznaczyć, że nie są one bezpieczne”.

Safari firmy Apple (wersja techniczna 46+) to pozostała przeglądarka, która wykorzystuje negatywne wskaźniki dla witryn internetowych z mieszaną aktywną zawartością, chociaż nie wydała żadnych publicznych oświadczeń dotyczących swoich planów dotyczących wskaźników bezpieczeństwa w przyszłości.

Przeglądarki Microsoft Edge i Opera nie wypowiadały się publicznie na temat swoich planów dotyczących wskaźników bezpieczeństwa interfejsu użytkownika.

Wnioski

Bezpieczeństwo w Internecie powinien być domyślnym, a aktywne ostrzeżenia przeglądarki przed niezabezpieczonymi połączeniami HTTP mogą stanowić wielką motywację dla niektórych starszych właścicieli serwerów WWW do zwracania uwagi na bezpieczeństwo ich witryn i odwiedzających. Ponadto usunięcie wskaźnika „Secure” ze stron internetowych HTTPS jest (prawdopodobnie) krokiem w kierunku uczynienia HTTPS oczekiwaną normą. Jeśli chodzi o całkowite usunięcie wskaźników pozytywnych, niektóre wskaźniki, takie jak wskaźniki pojazdów elektrycznych, mogą nadal stanowić istotną gwarancję dla odwiedzających w pewnych okolicznościach. Bez względu na to, jaka może być przyszłość, wraz ze wzrostem globalnego wykorzystania protokołu HTTPS na pewno pojawią się interesujące zmiany i wyzwania - więc regularnie sprawdzaj u nas przyszłe informacje na te i inne tematy związane z bezpieczeństwem.

Jak zawsze, dziękuję za przeczytanie tych słów z SSL.com, gdzie naszym zdaniem bezpieczniej Internet to lepszy Internet.

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.