Co to jest HTTPS i dlaczego powinno mnie to obchodzić?
26 March 2021HTTPS, ikona kłódki na pasku adresu, szyfrowane połączenie z witryną – to się nazywa wiele rzeczy. Chociaż kiedyś był zarezerwowany głównie dla haseł i innych poufnych danych, cała sieć stopniowo opuszcza protokół HTTP i przechodzi na HTTPS.
Litera „S” w HTTPS oznacza „bezpieczny”. Jest to bezpieczna wersja standardowego „protokołu przesyłania hipertekstu”, z którego korzysta Twoja przeglądarka internetowa podczas komunikacji ze stronami internetowymi.
Jak HTTP stwarza zagrożenie
Kiedy łączysz się ze stroną internetową za pomocą zwykłego protokołu HTTP, Twoja przeglądarka wyszukuje adres IP, który odpowiada tej witrynie, łączy się z tym adresem IP i zakłada, że jest połączony z właściwym serwerem internetowym. Dane są przesyłane przez połączenie w postaci zwykłego tekstu. Osoba podsłuchująca w sieci Wi-Fi, dostawca usług internetowych lub rządowe agencje wywiadowcze, takie jak NSA, mogą zobaczyć odwiedzane strony internetowe i dane, które przesyłasz w tę iz powrotem.
Są z tym duże problemy. Po pierwsze, nie ma możliwości sprawdzenia, czy masz połączenie z właściwą witryną. Może myślisz, że uzyskałeś dostęp do witryny swojego banku, ale znajdujesz się w zhakowanej sieci, która przekierowuje Cię do witryny oszusta. Hasła i numery kart kredytowych nigdy nie powinny być przesyłane przez połączenie HTTP, ponieważ podsłuchiwacz mógłby je łatwo ukraść.
Te problemy występują, ponieważ połączenia HTTP nie są szyfrowane . Połączenia HTTPS są.
W jaki sposób chroni Cię szyfrowanie HTTPS
HTTPS jest znacznie bezpieczniejszy niż HTTP. Kiedy łączysz się z serwerem zabezpieczonym przez HTTPS – bezpieczne witryny, takie jak strony Twojego banku, automatycznie przekierowują Cię do HTTPS – Twoja przeglądarka internetowa sprawdza certyfikat bezpieczeństwa witryny i weryfikuje, czy został on wydany przez uprawniony urząd certyfikacji. Pomaga to upewnić się, że jeśli widzisz „https://bank.com” w pasku adresu przeglądarki internetowej, jesteś faktycznie połączony z prawdziwą witryną banku. Firma, która wydała certyfikat bezpieczeństwa, ręczy za nie. Niestety, czasami urzędy certyfikacji wydają złe certyfikaty i system się psuje . Chociaż nie jest doskonały, HTTPS jest nadal znacznie bezpieczniejszy niż HTTP.
Gdy wysyłasz poufne informacje przez połączenie HTTPS, nikt nie może ich podsłuchać podczas przesyłania. HTTPS umożliwia bezpieczną bankowość internetową i zakupy.
Zapewnia również dodatkową prywatność podczas normalnego przeglądania sieci. Na przykład wyszukiwarka Google domyślnie obsługuje teraz połączenia HTTPS. Oznacza to, że ludzie nie widzą tego, czego szukasz w Google.com. To samo dotyczy Wikipedii i innych witryn. Wcześniej każdy w tej samej sieci Wi-Fi mógł zobaczyć Twoje wyszukiwania, podobnie jak Twój dostawca usług internetowych.
Dlaczego wszyscy chcą rezygnować z HTTP
Protokół HTTPS był pierwotnie przeznaczony do haseł, płatności i innych poufnych danych, ale teraz cała sieć zmierza w jego kierunku.
W Twój dostawca usług internetowych może podglądać Twoją historię przeglądania sieci i sprzedawać ją reklamodawcom . Jeśli jednak sieć przenosi się na HTTPS, Twój dostawca usług internetowych nie widzi tak wielu danych – widzi tylko, że łączysz się z określoną witryną, a nie z poszczególnymi stronami, które przeglądasz. Oznacza to znacznie więcej prywatności podczas przeglądania.
Co gorsza, protokół HTTP umożliwia dostawcy usług internetowych modyfikowanie odwiedzanych stron internetowych, jeśli tego chce. Mogą dodawać zawartość do strony internetowej, modyfikować stronę, a nawet usuwać pewne rzeczy. Na przykład dostawcy usług internetowych mogą użyć tej metody, aby wprowadzić więcej reklam do odwiedzanych stron internetowych. Comcast już wstrzykuje ostrzeżenia o ograniczeniu przepustowości , a Verizon wstrzyknął supercookie używane do śledzenia reklam. Protokół HTTPS uniemożliwia dostawcom usług internetowych i innym osobom obsługującym sieć manipulowanie takimi stronami internetowymi.
I oczywiście nie można rozmawiać o szyfrowaniu w sieci bez wspominania o Edwardie Snowden. Z dokumentów ujawnionych przez Snowdena w 2013 roku wynika, że rząd USA monitoruje strony internetowe odwiedzane przez internautów na całym świecie. To rozpaliło ogień w wielu firmach technologicznych zmierzających do zwiększenia szyfrowania i prywatności. Przechodząc na HTTPS, rządy na całym świecie mają trudniej przeglądać wszystkie Twoje nawyki przeglądania.
Jak przeglądarki zachęcają strony internetowe do zrzucania protokołu HTTP
Z powodu chęci przejścia na HTTPS, wszystkie nowe standardy zaprojektowane w celu przyspieszenia sieci wymagają szyfrowania HTTPS. HTTP / 2 to główna nowa wersja protokołu HTTP obsługiwana we wszystkich głównych przeglądarkach internetowych. Dodaje kompresję, potokowanie i inne funkcje, które pomagają przyspieszyć ładowanie stron internetowych. Wszystkie przeglądarki internetowe wymagają, aby witryny korzystały z szyfrowania HTTPS, jeśli chcą korzystać z nowych przydatnych funkcji HTTP / 2. Nowoczesne urządzenia mają również dedykowany sprzęt do przetwarzania szyfrowania AES, którego wymaga protokół HTTP. Oznacza to, że HTTPS powinien być szybszy niż HTTP.
Podczas gdy przeglądarki sprawiają, że HTTPS jest atrakcyjny dzięki nowym funkcjom, Google sprawia, że protokół HTTP jest nieatrakcyjny, nakładając kary na witryny internetowe za korzystanie z niego. Google planuje oznaczać witryny, które nie używają protokołu HTTPS, jako niebezpieczne w przeglądarce Chrome , a Google chce nadać priorytet witrynom używającym protokołu HTTPS w wynikach wyszukiwania Google. Stanowi to silną zachętę dla witryn do migracji na HTTPS.
Jak sprawdzić, czy masz połączenie z witryną za pomocą protokołu HTTPS
Możesz stwierdzić, że jesteś połączony z witryną internetową za pośrednictwem połączenia HTTPS, jeśli adres w pasku adresu przeglądarki internetowej zaczyna się od „https: //”. Zobaczysz również ikonę kłódki, którą możesz kliknąć, aby uzyskać więcej informacji na temat bezpieczeństwa witryny.
Wygląda to trochę inaczej w każdej przeglądarce, ale większość przeglądarek ma wspólny znak https: // i ikona kłódki. Niektóre przeglądarki domyślnie ukrywają teraz „https: //”, więc zobaczysz po prostu ikonę kłódki obok nazwy domeny witryny. Jeśli jednak klikniesz lub dotkniesz paska adresu, zobaczysz część adresu „https: //”.
Jeśli używasz nieznanej sieci i łączysz się z witryną swojego banku, upewnij się, że widzisz HTTPS i prawidłowy adres witryny. Pomaga to upewnić się, że jesteś rzeczywiście połączony z witryną banku, chociaż nie jest to niezawodne rozwiązanie . Jeśli nie widzisz wskaźnika HTTPS na stronie logowania, być może masz połączenie z oszukującą witryną w zaatakowanej sieci.
Obecność samego protokołu HTTPS nie gwarantuje, że witryna jest legalna. Niektórzy sprytni phisherzy zdali sobie sprawę, że ludzie szukają wskaźnika HTTPS i ikony kłódki i mogą robić wszystko, co w ich mocy, aby ukryć swoje witryny. Dlatego nadal powinieneś być ostrożny: nie klikaj linków w wiadomościach phishingowych , bo możesz znaleźć się na sprytnie zamaskowanej stronie. Oszuści mogą również uzyskać certyfikaty dla swoich serwerów oszustów. Teoretycznie uniemożliwia im się podszywanie się pod witryny, których nie są właścicielami. Możesz zobaczyć adres, na przykład https://google.com.3526347346435.com. W tym przypadku używasz połączenia HTTPS, ale tak naprawdę jesteś połączony z subdomeną witryny o nazwie 3526347346435.com, a nie z Google.
Inni oszuści mogą imitować ikonę kłódki, zmieniając ikonę ulubionej witryny, która pojawia się w pasku adresu, na kłódkę, aby spróbować Cię oszukać. Zwróć uwagę na te sztuczki podczas sprawdzania połączenia ze stroną internetową.
źródło:https://www.howtogeek.com/181767/htg-explains-what-is-https-and-why-should-i-care/