HTTP ve HTTPS
HTTPS tarayıcıların web sunucularıyla güvenli iletişim kurmak için kullandığı bir ağ protokolüdür. HTTPS, Köprü Metni Aktarım Protokolü veya HTTP adı verilen çok daha eski bir protokole güvenli bir alternatiftir. HTTPS kullanıcıları koruyabilir, çünkü değiş tokuş edilen tüm web (veya HTTP) verilerinin şifrelenmesi gerekir. TLS (HTTPS tam anlamıyla * HTTP * üzeri *TLS*).
Web verilerini gizli bir anahtarla şifreleme ( TLS yapar), saldırganların aktarılan orijinal içeriği okumasını veya değiştirmesini önleyerek kullanıcı güvenliğini artırır. Bu tür ağ saldırıları ortadaki adam (MITM) saldırıları. Araştırmacılar, MITM saldırganlarının özünde herhangi bir HTTP trafiğini, kullanıcının farkında olmadan okuyabileceğini veya değiştirebileceğini defalarca göstermiştir.
Ek güvenlik, HTTPS'yi hassas verileri işleyen web uygulamaları için ideal hale getirir ve çoğu sunucu (örneğin bankacılık veya e-posta sunucuları) zaten yükseltilmiştir. Ne yazık ki, tüm web sunucuları, artan bant genişliği, eski sorunlar ve benzeri gibi çeşitli işletim kısıtlamaları nedeniyle bunu desteklememektedir. Potansiyel bir tehlike olduğu için, ilgili kullanıcıların güvenli olmayan bir bağlantıya göz atıp atmadıklarını bilmeleri gerekir.
Güvenlik göstergelerini girin
Tarayıcılar, kullanıcıları bir web bağlantısının güvenlik durumu hakkında, adres çubuğunda gösterilen grafikler biçiminde bilgilendirir (örneğin, bu makalenin URL'sinden önceki kilit simgesi). Bunlar güvenlik göstergeleri herhangi biri olabilir negatif kullanıcıları potansiyel tehlike altında oldukları konusunda uyarabilir veya pozitif, güvencesini sağlamak için bağlantıları güvenlidir.
Güvenlik göstergeleri bir web bağlantısının iki yönünü iletmek için kullanılır; bağlantı güvenliği ve gerçeklik uzak web sunucusunun.
Şifreleme ile bağlantı güvenliği
Göstergeler, bağlantı güvenliği hakkında şifreli, şifresiz ve karma içerik bağlantıları. Şifrelenmiş ve şifresiz siteler, içeriğin tamamını veya tamamını korur. Karışık içerik, başka şekilde şifrelenmiş web sitelerinin bazı bileşenlerinin şifrelenmemiş kanallardan alındığı anlamına gelir.
Sayfanın içeriğini değiştirebilen bileşenlere (komut dosyaları veya vektörler) denir aktif içerik. Sabit kimliğe sahip bileşenler (statik resimler veya yazı tipleri gibi) çağrılır pasif içerik.
Tamamen şifrelenmiş bir web bağlantısı güvenli görünse de, bu tek başına bir web sitesinin göz atmanın güvenli olduğu anlamına gelmez.
Sunucu kimlik doğrulaması ve dijital sertifikalar
Saldırganlar bir web sitesinin içeriğini kopyalayabilir (ve yapabilir) ve ağ trafiğini şifreli bağlantılar üzerinden bile kendi kötü amaçlı sunucularına yönlendirebilir. Sunucuları yalnızca farklı, bilinen bir TLS orijinal sır yerine anahtar. Bağlantının meşruiyetinden şüphe etmek için hiçbir neden olmadan, şüpheli olmayan kullanıcılar oturum açmaya veya diğer hassas bilgileri ifşa etmeye ikna edilebilir.
Yanıt olarak, tarayıcılar, meşru web sunucusu sahiplerinin kimlik bilgilerini her sunucunun sunduğu benzersiz şifreleme anahtarıyla ilişkilendirerek sunucuların kimliğini doğrular. Bu şekilde, tarayıcılar bu kimlik doğrulamasını şu şekilde adlandırılan üçüncü taraf varlıklara devreder: Sertifika Yetkilileri (CA'lar). Büyük tarayıcılar, tarayıcıların güvenebileceği katı standartlara ve denetim gereksinimlerine uyması gereken kendi CA'larına olan güvenlerini yönetmek için kök programlarını korur.
SSL.com gibi güvenilir bir CA'dan sertifika isteyen bir web sunucusu sahibi, geçerli bir genel anahtar sunmalı ve etki alanı adını ve işaret ettiği sunucuyu kontrol ettiğini kanıtlamalıdır. Bu kontroller başarılı olursa, CA, sitelerine olan bağlantıları hem şifrelemek hem de doğrulamak için kullanan sahibe bir dijital sertifika verir.
Sertifikalar, bir sunucuya sahip olan kişi veya kuruluşla ilgili bilgileri içeren dijital kimliklerdir. CA'lar her sertifikayı, mum mühürlere benzer bir bütünlük mekanizması olan dijital bir imza ile şifreli olarak imzalar; saldırganlar imzayı kopyalayamaz ve içeriği değiştirmeden önce geçersiz kılmaları gerekir. HTTPS, o sunucunun geçerli sertifikasıyla bir tarayıcı bağlantısını karşılamak için bir web sunucusu gerektirir. Tarayıcılar daha sonra sertifikayı kontrol eder - güvenilir bir CA tarafından imzalanmışsa, bağlantı devam edebilir. (Bir sunucu farklı, iptal edilmiş veya başka bir şekilde geçersiz sertifika sunarsa, tarayıcı bağlantıyı sonlandırır veya reddeder ve ilerideki bir makalede ayrıntılı olarak inceleyeceğimiz hata mesajlarını kullanarak kullanıcıyı uyarır).
Doğrulama seviyeleri
Tüm sertifikaların aynı düzeyde güvenlik sağlamadığı ve güvenlik göstergelerinin farklı doğrulama düzeyleri için verilen farklı sertifika türleri arasında ayrım yapabileceği unutulmamalıdır.
CA'lar sorunu Alan Adı Doğrulandı (DV) bir DNS etki alanı üzerinde denetim gösteren müşterilere yönelik sertifikalar. Organizasyon Onaylı (OV) sertifikalar, bir kuruluşun tüzel kişilik olduğunu ve etki alanı kontrolünü doğrulamak için incelenir. En sonunda, Genişletilmiş Doğrulanmış (EV) şirket bilgilerini tarayıcı çubuğunda görüntüleyebilen sertifikalar, birden fazla bağımsız doğrulama kontrolünden (insandan insana iletişim, nitelikli veritabanlarına referans ve takip incelemeleri dahil) ve ayrıca OV- ve DV -seviye adımlar.
Göstergelerin mevcut durumu
İnternetin ilk günlerinde, HTTP normdu ve HTTPS, en çok düşünülen güvenlik için bir seçenek olarak tanıtıldı. Sonuç olarak, çoğu tarayıcı yalnızca pozitif göstergeleri, yani HTTPS bağlantısını gösteren bir kilit ve (isteğe bağlı olarak) bu bağlantının bir EV sertifikası kullanıp kullanmadığını. Bugün, güvenlik bilincini daha geniş bir şekilde tanıtmak için, Chrome, Firefox ve Safari ile birlikte, negatif şifrelenmemiş veya karışık etkin içerik sayfalarına sahip sayfaların kullanıcılarını uyarır. Aşağıdaki tablo, tarayıcılardaki güvenlik göstergelerinin genel durumu için bir özettir. HTTP ile başlayarak (hiç güvenli değildir) liste boyunca her öğe bir öncekinden daha güvenlidir.
(Büyütmek için resmin üzerine tıklayın)
Gelecekte yapılacak değişiklikler ve planlar
Chrome'un Kullanılabilir Güvenlik ekibi bir öneri bu tarayıcı davranışını değiştirmek için. HTTPS web sitelerinden pozitif güvenlik göstergelerini tamamen kaldırmaya çalışırken, tüm tarayıcıların kullanıcıları negatif göstergelerle güvenli olmayan HTTP (veya karışık içerik HTTPS) web sitelerine karşı aktif olarak uyarmaya başlaması gerektiğini ileri sürmektedirler.
Kararlarını araştırmaya dayandırıyorlar. 2007 yayınlanandaha ciddi olarak algılanan olumsuz göstergelerin aksine pozitif güvenlik göstergelerinin kullanıcılar tarafından göz ardı edildiğini belirtiyor. Chrome ayrıca orijinal tekliflerinde, "kullanıcıların web'in varsayılan olarak güvenli olmasını beklemesi gerektiğini ve bir sorun olduğunda uyarılacağını" savundu.
Eylül 2018'den itibaren bu fikre abone olunan daha yeni Chrome sürümleri (69+), tüm HTTP web sitelerinde bir "Güvenli değil" negatif göstergesi görüntüler ve HTTPS için "Güvenli" pozitif göstergesini göstermez.
Mozilla'nın Firefox'u (sürüm 58+), negatif güvenlik göstergelerini benimseyen, ancak yalnızca karışık aktif içeriğe sahip siteler için olan diğer iki tarayıcıdan biridir. Ayrıca, bir resmi blog yazısı, Firefox'ta UI güvenlik göstergeleri için gelecek planlarını duyurdular: "Firefox, güvenli olmadıklarını açıklığa kavuşturmak için HTTPS kullanmayan tüm sayfalar için sonunda çarpılan kilit simgesini gösterecek".
Apple'ın Safari (teknoloji sürümü 46+), gelecekte güvenlik göstergelerine ilişkin planlarına ilişkin herhangi bir kamuya açıklama yapmamış olsalar da, karışık aktif içeriğe sahip web siteleri için negatif göstergeler kullanan kalan tarayıcıdır.
Microsoft'un Edge ve Opera tarayıcıları, UI güvenlik göstergeleri hakkındaki planları hakkında kamuya açık bir şekilde konuşmadılar.
Sonuç
İnternette güvende olmak meli varsayılan olabilir ve güvenli olmayan HTTP bağlantılarına karşı etkin tarayıcı uyarıları, bazı eski web sunucusu sahiplerinin sitelerinin ve ziyaretçilerinin güvenliğine dikkat etmesi için büyük motivasyon sağlayabilir. Dahası, HTTPS web sitelerinden “Güvenli” göstergesinin kaldırılması (tartışmalı olarak) HTTPS'yi beklenen norm haline getirme yolunda bir adımdır. Pozitif göstergeleri tamamen ortadan kaldırmaya gelince, EV göstergeleri gibi bazı göstergeler, bazı durumlarda ziyaretçilere hala önemli bir güvence sağlayabilir. Gelecek ne olursa olsun, küresel HTTPS kullanımı arttıkça, bazı ilginç değişiklikler ve zorluklar olması kaçınılmazdır - bu nedenle, bunlar ve diğer güvenlik konuları hakkında gelecekteki bilgiler için bizi kontrol etmeye devam edin.
Her zaman olduğu gibi, bu kelimeleri SSL.com'dan okuduğunuz için teşekkür ederiz. daha güvenli İnternet bir daha iyi İnternet.
