HTTP och HTTPS
HTTPS är ett nätverksprotokoll som webbläsare använder för att säkert kommunicera med webbservrar. HTTPS är ett säkert alternativ till ett mycket äldre protokoll, kallad Hyper Text Transfer Protocol, eller HTTP. HTTPS kan skydda användare, eftersom det kräver kryptering av att all utbytad webb (eller HTTP) data sker via ett kryptografiskt protokoll, kallat TLS (HTTPS är bokstavligen * HTTP * över *TLS*).
Kryptering av webbdata med en hemlig nyckel (som TLS gör) förbättrar användarsäkerheten genom att förhindra angriparna från att läsa eller ändra det ursprungliga innehållet i transit. Sådana nätattacker är kända som man-i-mitt-attacker (MITM). Forskare har upprepade gånger visat att MITM-angripare i huvudsak kan läsa eller ändra all HTTP-trafik utan att användaren vet om den.
Den extra säkerheten gör HTTPS idealisk för webbapplikationer som hanterar känslig data, och de flesta servrar (t.ex. bank- eller e-postservrar) har redan uppgraderats. Tyvärr stöder inte alla webbservrar det på grund av olika operationella begränsningar, såsom ökad bandbredd, äldre problem och så vidare. Eftersom det finns en potentiell fara måste berörda användare veta om de surfar över en osäker anslutning.
Ange säkerhetsindikatorer
Webbläsare informerar användare om säkerhetsstatusen för en webbanslutning, i form av grafik som visas i adressfältet (t.ex. låsikonen före webbadressen i den här artikeln). Dessa säkerhetsindikatorer kan vara antingen negativ och varnar användare att de är i potentiell fara, eller positiv, för att försäkra dem om att deras anslutning är säker.
Säkerhetsindikatorer används för att kommunicera två aspekter av en webbanslutning; anslutningssäkerhet och äktheten på fjärrwebservern.
Anslutningssäkerhet genom kryptering
Indikatorer informerar om anslutningssäkerhet genom att skilja mellan krypterad, okrypterad och blandat innehåll anslutningar. Krypterade och okrypterade webbplatser skyddar antingen eller inget innehåll. Blandat innehåll innebär att vissa komponenter på annat krypterade webbplatser hämtas via okrypterade kanaler.
Komponenter som kan ändra innehållet på sidan (som skript eller vektorer) kallas aktivt innehåll. Komponenter med fast identitet (som statiska bilder eller teckensnitt) kallas passivt innehåll.
Även om en helt krypterad webbanslutning låter säker, betyder det inte ens att en webbplats är säker att surfa.
Serververifiering och digitala certifikat
Angripare kan (och göra) kopiera innehållet på en webbplats och omdirigera nätverkstrafik till sin egen skadliga server, även över krypterade anslutningar. Deras server skulle bara behöva presentera en annan, känd TLS i stället för den ursprungliga hemligheten. Eftersom det inte finns någon anledning att ifrågasätta legitimiteten i anslutningen, kan intetanande användare sedan övertalas att logga in eller avslöja annan känslig information.
Som svar autentiserar webbläsare servrar genom att korrelera legitimationerna för legitima webbserverägare med den unika krypteringsnyckeln som varje server presenterar. På så sätt delegerar webbläsare denna verifiering till tredje part, kallade Certifikatutfärdare (CA). Större webbläsare upprätthåller rotprogram för att hantera sitt eget förtroende för CA: er, som måste följa strikta standarder och revisionskrav som webbläsaren kan lita på.
En webbserverägare som begär ett certifikat från en betrodd CA, t.ex. SSL.com, måste presentera en giltig offentlig nyckel och bevisa att de kontrollerar domännamnet och servern den pekar på. Om dessa kontroller lyckas utfärdar CA ett digitalt certifikat till ägaren, som använder det för att både kryptera och autentisera anslutningar till deras webbplats.
Certifikat är digitala identiteter som innehåller information om personen eller organisationen som äger en server. CA signerar kryptografiskt varje certifikat med en digital signatur, en integritetsmekanism som är analog med vaxförseglingar - angripare kan inte duplicera signaturen och de måste ogiltigförklara den innan innehållet ändras. HTTPS kräver en webbserver för att hälsa på en webbläsaranslutning med serverns giltiga certifikat. Webbläsarna kontrollerar sedan certifikatet - om det undertecknades av en betrodd CA kan anslutningen fortsätta. (Om en server presenterar ett annat, återkallat eller på annat sätt ogiltigt certifikat avslutar eller avvisar webbläsaren anslutningen och varnar användaren med hjälp av felmeddelanden som vi kommer att undersöka i detalj i en framtida artikel).
Valideringsnivåer
Det bör noteras att inte alla certifikat erbjuder samma säkerhetsnivå och säkerhetsindikatorer kan skilja mellan de olika certifikattyper som utfärdas för olika valideringsnivåer.
CA-frågor Domän validerat (DV) certifikat till kunder som har visat kontroll över en DNS-domän. organisation Validerad (OV) certifikat kontrolleras för att verifiera att en organisation är en juridisk enhet, liksom domänkontroll. Till sist, Utökad validerad (EV) certifikat - som kan visa företagsinformation i webbläsarfältet själv - är reserverade för kunder som har klarat flera oberoende verifieringskontroller (inklusive kontakt mellan människor, referens till kvalificerade databaser och uppföljningsrecensioner) samt OV- och DV -nivåsteg.
Indikatorernas aktuella status
I början av internet var HTTP normen och HTTPS infördes som ett alternativ för de allra mest säkerhetsinriktade. Som ett resultat använde de flesta webbläsare bara positiv indikatorer, dvs ett lås som visar en HTTPS-anslutning, och (valfritt) om den anslutningen använder ett EV-certifikat. Idag, för att främja säkerhetsmedvetandet mer brett, har Chrome, tillsammans med Firefox och Safari, också börjat anta användningen av negativ indikatorer som varnar användare för sidor med okrypterade eller blandade aktiva innehållssidor. Följande tabell är en sammanfattning för det allmänna tillståndet för säkerhetsindikatorer i webbläsare. Börjar med HTTP (vilket inte är säkert alls) är varje objekt längre längs listan säkrare än de tidigare.
(Klicka på bilden för att förstora)
Kommande förändringar och planer för framtiden
Chromes användbara säkerhetsteam har släppt en förslag för att ändra detta webbläsares beteende. De föreslår att alla webbläsare bör börja aktivt varna användare mot osäkra HTTP-webbplatser (eller blandat innehåll HTTPS) med negativa indikatorer, medan de försöker ta bort positiva säkerhetsindikatorer från HTTPS-webbplatser helt och hållet.
De baserar sitt beslut på forskning som var publicerades i 2007, om att positiva säkerhetsindikatorer ignoreras av användarna, i motsats till negativa indikatorer som uppfattas som mer allvarliga. Chrome har också hävdat i sitt ursprungliga förslag att "användare bör förvänta sig att webben är säker som standard, och de kommer att varnas när det finns ett problem".
Prenumerera på denna idé, från och med september 2018, visar nyare Chrome-versioner (69+) en negativ indikator "Inte säker" på alla HTTP-webbplatser och visar inte "Säker" positiv indikator för HTTPS.
Mozillas Firefox (sedan version 58+) är en av de två andra webbläsare som har antagit negativa säkerhetsindikatorer, men endast för webbplatser med blandat aktivt innehåll. Dessutom i en officiellt blogginlägg, de har meddelat sina framtida planer för UI-säkerhetsindikatorer i Firefox: "Firefox kommer så småningom att visa den genomsträckta låsikonen för alla sidor som inte använder HTTPS, för att tydliggöra att de inte är säkra".
Apples Safari (tech release 46+) är den återstående webbläsaren som använder negativa indikatorer för webbplatser med blandat aktivt innehåll, även om de inte har gjort några offentliga uttalanden om sina planer för säkerhetsindikatorer i framtiden.
Microsofts Edge- och Opera-webbläsare har inte talat offentligt om sina planer om UI-säkerhetsindikatorer.
Slutsats
Att vara säker på Internet skall vara standard, och aktiva webbläsarvarningar mot osäkra HTTP-anslutningar kan ge stor motivation för vissa äldre webbserverägare att vara uppmärksamma på säkerheten på sina webbplatser och deras besökare. Dessutom är att ta bort "Secure" -indikatorn från HTTPS-webbplatser (utan tvekan) ett steg mot att göra HTTPS till den förväntade normen. När det gäller att helt avlägsna positiva indikatorer kan vissa indikatorer, såsom EV-indikatorer, fortfarande ge viktiga garantier för besökare under vissa omständigheter. Oavsett framtiden kan vara, eftersom global HTTPS-användning ökar kommer det säkert att finnas några intressanta förändringar och utmaningar - så fortsätt att kolla tillbaka med oss för framtida information om dessa och andra säkerhetsämnen.
Som alltid, tack för att du läste dessa ord från SSL.com, där vi tror a säkrare Internet är en bättre Internet.
