Hvad er forskellen mellem HTTP og HTTPS? Ting, du skal vide for at være sikker online
Mozilla Firefox-brugere har måske snublet over sager, når de forsøger at indtaste tekst i en online form, og de ser en boks der siger: ' Forbindelsen er ikke sikker. Logins, der er indtastet her, kan blive kompromitteret. 'Når Google Chrome-brugere går til disse websteder, ser de en' Ikke sikker 'meddelelse i adresselinjen. Hvad handler det om?
De mere opmærksomme blandt jer ved sandsynligvis, at nogle URL'er starter med "http://" og andre med "https://". Du har måske også bemærket, at når webstedet indlæses under HTTPS, ser du et grønt hængelåssymbol ved siden af webstedets adresse. Denne grønne hængelås er virkelig vigtig, og vi vil nu forklare hvorfor.
Table of Contents
Hvad er HTTP?
HTTP står for Hypertext Transfer Protocol, og uden den ville du ikke læse dette. HTTP letter overførslen af tekst, billeder og andre medier mellem din computer og serveren, der er vært for det websted, du besøger. Det er en meget anden oplevelse at surfe på internettet uden denne protokol.
Da Tim Berners-Lee oprettede HTTP i 1989, var Internettet ikke nøjagtigt allestedsnærværende. Få mennesker havde adgang til det, og online-pionererne så ikke, hvorfor nogen ville stjæle information, der rejste mellem computere. Ting, som du sandsynligvis ved, har ændret sig ret siden da.
HTTPS og dens betydning
Efterhånden som internettet voksede, begyndte flere og flere dårlige mennesker at interessere sig for den stadigt stigende mængde information, der fløj rundt, og det såkaldte Man-In-The-Middle-angreb (MITM) blev født. Som navnet antyder, under en MITM-angreb indsætter en person sig selv mellem brugerens computer og webstedets server og snuser gennem de flydende data. På den måde kan skurken stjæle adgangskoder og manipulere med det, brugeren sender og modtager.
Det viste sig snart, at tilgangen til at sende følsomme oplysninger over internettet skulle ændres, og det var sådan, HTTPS, eller HTTP Secure, blev født. HTTPS er en udvidelse af HTTP snarere end en anden protokol. Det tjener et par hovedformål:
- Kryptering af dine data. Kryptering er kernen i HTTPS. Det var oprindeligt afhængig af krypteringsprotokollen Secure Socket Layer (SSL), men den skiftede senere til SSLs mere sikre efterfølger, Transport Layer Security (TLS). Sådan fungerer det på enkle vilkår. Så snart du opretter en HTTPS-forbindelse, udfører din browser og serveren, der er vært for webstedet, først den såkaldte "håndtryk", hvor de ved hjælp af en asymmetrisk ciffer udveksler sikkerhedsspecifikke data og den kryptografiske nøgle, der vil blive brugt til kryptering af informationen. Fra da af er hver bit af data, der sendes til og fra din computer, ulæselig for alle andre end dig og serveren. Som et resultat, mens en hacker teoretisk kunne aflytte dine online bank login-legitimationsoplysninger, har de ingen idé om, hvad din brugernavn og adgangskoder ser ud. Tilsvarende vil de ikke være i stand til at fange og ændre de data, som banken sender til din pc.
- At forsikre dig om, at du er på det rigtige sted. Formålet med HTTPS er ikke kun at omdanne dine data til et ulæseligt rod med tegn. Hvis du vil betjene dit websted under en HTTPS-forbindelse, skal du have et SSL-certifikat (selvom SSL blev grøvet for et stykke tid siden, har navnet sat sig fast). Disse certifikater udstedes af de såkaldte Certificate Authorities (eller CA'er), og tanken er, at de kun gives til legitime websteder. Nogle etablerede online portaler som PayPal har brugt EV-certifikater til udvidet validering, der viser navnet på websteejeren. Selvom sikkerhedseksperter regner med, at de ikke medfører nogen ekstra værdi, inden udstedelse af et EV-certifikat, tager CA'er yderligere skridt for at sikre, at den certificerede enhed er troværdig. Tanken med regelmæssige og EV-certifikater er at lade brugeren vide, at det websted, de besøger er ikke ondsindet.
Når du surfer på nettet, vil du være sikker på, at du altid er på det rigtige websted, som i denne dag og alder ikke er så let som det kan se ud. Med så mange nervøse hackere, der lurer rundt om hvert hjørne, vil du også være sikker på, at de data, du sender, ikke er synlige for dårligt tilsigtede mennesker. I teorien besvarer HTTPS begge spørgsmål. I virkeligheden er vi stadig nødt til at være opmærksomme.
HTTPS-vedtagelse og de problemer, der følger med det
I årevis opfordrede sikkerhedseksperter webstedsoperatører til at skifte til HTTPS, men deres opkald faldt på døve ører, og grunden var enkel - penge. SSL-certifikater var temmelig dyre og blev for det meste købt af e-handelswebsteder. Ting ændrede sig for to og lidt år siden, da en ny Certificate Authority kaldet Let's Encrypt opstod. I modsætning til de øvrige CA'er tilbyder Let's Encrypt gratis SSL-certifikater, og processen er også helt automatiseret, hvilket betyder, at det at tage HTTPS tager kun et par minutter og nøjagtigt $ 0.
Problemet med dette er, at betjening af websteder via en sikker forbindelse er nu enklere for både legitime online-virksomheder og kriminelle. Som et resultat har eksperter set flere og flere phishing-sider med SSL-certifikater. Og det betyder, at den grønne hængelås ikke længere kan betragtes som en pålidelig indikator for en pålidelig, sikker webside. Ikke desto mindre er det faktum, at antallet af HTTPS-websteder er steget, en god ting. Bedre stadig, det vil sandsynligvis fortsætte med at stige.
SEO-ydelsen for websteder, der serveres via en usikker forbindelse, siges at være lavere, og snart vil Google Chrome mærke alle HTTP-websteder som "Ikke sikker", ikke kun dem, der har en login-formular på dem. Med andre ord er HTTPS ved at blive normen, ikke undtagelsen. Hvis vi ønsker en sikrere World Wide Web, er dette et meget vigtigt trin.
