Ποια είναι η διαφορά μεταξύ του HTTP και του HTTPS; Πράγματα που πρέπει να ξέρετε για να παραμείνετε ασφαλείς on-line
Οι χρήστες του Mozilla Firefox ενδέχεται να έχουν σκοντάψει σε περιπτώσεις που προσπαθούν να εισάγουν κάποιο κείμενο σε μια ηλεκτρονική φόρμα και βλέπουν ένα κουτί που λέει: « Η σύνδεση δεν είναι ασφαλής. Οι συνδέσεις που μπήκαν εδώ θα μπορούσαν να παραβιαστούν. 'Όταν οι χρήστες του Google Chrome μεταβούν σε αυτούς τους ιστότοπους, βλέπουν ένα μήνυμα' Μη ασφαλές 'στη γραμμή διευθύνσεων. Τι είναι όλα αυτά;
Όσο πιο παρατηρημένοι από εσάς γνωρίζετε ότι ορισμένες διευθύνσεις URL ξεκινούν με "http://" και άλλες με "https://". Ενδέχεται επίσης να έχετε παρατηρήσει ότι όταν ο ιστότοπος φορτώνεται με HTTPS, βλέπετε ένα σύμβολο πράσινου λουκέτου δίπλα στη διεύθυνση του ιστότοπου. Αυτό το πράσινο λουκέτο είναι πραγματικά σημαντικό, και τώρα θα εξηγήσουμε γιατί.
Table of Contents
Τι είναι το HTTP;
Το HTTP σημαίνει πρωτόκολλο μεταφοράς υπερκειμένου και χωρίς αυτό δεν θα το διάβαζες. Το HTTP διευκολύνει τη μεταφορά κειμένου, εικόνων και άλλων μέσων μεταξύ του υπολογιστή σας και του διακομιστή που φιλοξενεί τον ιστότοπο που επισκέπτεστε. Η περιήγηση στο διαδίκτυο χωρίς αυτό το πρωτόκολλο θα ήταν μια πολύ διαφορετική εμπειρία.
Όταν ο Tim Berners-Lee δημιούργησε το HTTP το 1989, το Διαδίκτυο δεν ήταν ακριβώς πανταχού παρόν. Λίγοι άνθρωποι είχαν πρόσβαση σε αυτό και οι πρωτοπόροι σε απευθείας σύνδεση δεν είδαν γιατί κάποιος θα ήθελε να κλέψει τις πληροφορίες που ταξιδεύουν μεταξύ υπολογιστών. Τα πράγματα, όπως ίσως γνωρίζετε, έχουν αλλάξει αρκετά από τότε.
HTTPS και τη σημασία της
Καθώς αυξανόταν το διαδίκτυο, όλο και περισσότεροι κακοί άνθρωποι άρχισαν να ενδιαφέρονται για την ολοένα αυξανόμενη ποσότητα πληροφοριών που πετούσαν γύρω και γεννήθηκε η λεγόμενη επίθεση Μαν-In-The-Middle (MITM). Όπως υποδηλώνει το όνομα, κατά τη διάρκεια μιας επίθεσης MITM, ένα άτομο εισέρχεται μεταξύ του υπολογιστή του χρήστη και του διακομιστή του ιστότοπου και εισπνέει μέσα από τα ρέοντα δεδομένα. Με αυτόν τον τρόπο, ο απατεώνας μπορεί να κλέψει τους κωδικούς πρόσβασης και να παρενοχλήσει με ό, τι στέλνει και λαμβάνει ο χρήστης.
Σύντομα έγινε φανερό ότι η προσέγγιση για την αποστολή ευαίσθητων πληροφοριών μέσω του Διαδικτύου θα πρέπει να αλλάξει και έτσι γεννήθηκε το HTTPS ή το HTTP Secure. Το HTTPS είναι μια επέκταση του HTTP παρά ένα διαφορετικό πρωτόκολλο. Εξυπηρετεί μερικούς κύριους σκοπούς:
- Κρυπτογράφηση των δεδομένων σας. Η κρυπτογράφηση βρίσκεται στο επίκεντρο του HTTPS. Αρχικά βασίστηκε στο κρυπτογραφικό πρωτόκολλο Secure Socket Layer (SSL), αλλά μετατράπηκε αργότερα σε ασφαλέστερο διαδότη SSL, το Transport Layer Security (TLS). Ας δούμε πώς λειτουργεί με απλούς όρους. Μόλις δημιουργήσετε μια σύνδεση HTTPS, το πρόγραμμα περιήγησής σας και ο εξυπηρετητής που φιλοξενεί τον ιστότοπο εκτελούν κατ 'αρχήν τη λεγόμενη "χειραψία" κατά την οποία, χρησιμοποιώντας ασύμμετρο κρυπτογράφο, το κρυπτογραφικό κλειδί που θα χρησιμοποιηθεί για την κρυπτογράφηση των πληροφοριών. Από εκεί και πέρα, κάθε κομμάτι των δεδομένων που αποστέλλονται προς και από τον υπολογιστή σας είναι δυσανάγνωστο σε οποιονδήποτε εκτός από εσάς και τον διακομιστή. Ως αποτέλεσμα, ενώ ένας χάκερ θα μπορούσε να παρακολουθήσει θεωρητικά τα διαπιστευτήριά σας σύνδεσης στο διαδίκτυο, δεν θα έχει το όνομα χρήστη και οι κωδικοί πρόσβασης μοιάζουν. Ομοίως, δεν θα είναι σε θέση να καταγράψουν και να τροποποιήσουν τα δεδομένα που στέλνει η τράπεζα στον υπολογιστή σας.
- Βεβαιώνοντας ότι βρίσκεστε στη σωστή θέση. Ο σκοπός του HTTPS δεν είναι απλά να μετατρέψει τα δεδομένα σας σε ένα δυσανάγνωστο χάος χαρακτήρων. Για να προβάλλετε τον ιστότοπό σας με σύνδεση HTTPS, πρέπει να έχετε ένα πιστοποιητικό SSL (παρόλο που το SSL έχει αποκολληθεί πριν από λίγο καιρό, το όνομα έχει κολλήσει). Αυτά τα πιστοποιητικά εκδίδονται από τις επονομαζόμενες Αρχές Πιστοποίησης (CA) και η ιδέα είναι ότι δίνονται μόνο σε νόμιμους ιστότοπους. Μερικές εγκατεστημένες σε απευθείας σύνδεση πύλες όπως το PayPal έχουν περάσει για τα πιστοποιητικά Extended Validation (EV) τα οποία θα εμφανίζουν το όνομα του κατόχου του ιστότοπου. Αν και οι εμπειρογνώμονες ασφάλειας εκτιμούν ότι δεν φέρνουν επιπλέον αξία, πριν εκδώσουν ένα πιστοποιητικό EV, οι CA λαμβάνουν πρόσθετα μέτρα για να εξασφαλίσουν ότι η πιστοποιημένη οντότητα είναι αξιόπιστη. Η ιδέα των τακτικών και EV πιστοποιητικών είναι να επιτρέπουν στον χρήστη να γνωρίζει ότι ο ιστότοπος που επισκέπτεται δεν είναι κακόβουλο.
Όταν περιηγείστε στο διαδίκτυο, θέλετε να είστε σίγουροι ότι βρίσκεστε πάντα στη σωστή ιστοσελίδα, η οποία σε αυτή την εποχή δεν είναι τόσο εύκολη όσο φαίνεται. Με τόσους πολλούς νευρικούς χάκερ που κρύβονται γύρω από κάθε γωνιά, θέλετε επίσης να είστε βέβαιοι ότι τα δεδομένα που στέλνετε δεν είναι ορατά από τους κακοποιούς ανθρώπους. Θεωρητικά, το HTTPS απαντά και στις δύο ερωτήσεις. Στην πραγματικότητα, πρέπει να επαγρυπνούμε.
Την υιοθέτηση του HTTPS και τα προβλήματα που σχετίζονται με αυτό
Για χρόνια, οι ειδικοί ασφαλείας ζητούσαν από τους φορείς εκμετάλλευσης ιστότοπων να μεταβούν στο HTTPS, αλλά οι κλήσεις τους έπεφταν σε κωφάδες, και ο λόγος ήταν απλός - χρήματα. Τα πιστοποιητικά SSL ήταν μάλλον ακριβά και αγοράστηκαν κυρίως από ιστότοπους ηλεκτρονικού εμπορίου. Τα πράγματα άλλαξαν δύο και πριν από λίγα χρόνια όταν εμφανίστηκε μια νέα Αρχή Πιστοποίησης που λέγεται Let's Encrypt. Σε αντίθεση με τις υπόλοιπες ΑΠ, το Let's Encrypt προσφέρει δωρεάν πιστοποιητικά SSL και η διαδικασία είναι επίσης πλήρως αυτοματοποιημένη, πράγμα που σημαίνει ότι η υιοθέτηση του HTTPS διαρκεί μόνο μερικά λεπτά και ακριβώς $ 0.
Το πρόβλημα με αυτό είναι ότι η εξυπηρέτηση ιστότοπων μέσω ασφαλούς σύνδεσης είναι πλέον απλούστερη τόσο για τις νόμιμες ηλεκτρονικές επιχειρήσεις όσο και για τους εγκληματίες. Ως αποτέλεσμα, οι ειδικοί έχουν δει όλο και περισσότερες σελίδες ηλεκτρονικού "ψαρέματος" με πιστοποιητικά SSL. Και αυτό σημαίνει ότι το πράσινο λουκέτο δεν μπορεί πλέον να θεωρηθεί αξιόπιστος δείκτης μιας αξιόπιστης, ασφαλούς ιστοσελίδας. Ωστόσο, το γεγονός ότι ο αριθμός των ιστότοπων HTTPS έχει αυξηθεί είναι καλό. Ακόμα καλύτερα, πιθανότατα θα συνεχίσει να αυξάνεται.
Η απόδοση SEO των ιστότοπων που εξυπηρετούνται μέσω μιας μη ασφαλούς σύνδεσης λέγεται ότι είναι χαμηλότερη και σύντομα το Google Chrome θα χαρακτηρίσει όλους τους ιστότοπους HTTP ως "Ασφαλείς" και όχι μόνο αυτούς που έχουν μια φόρμα σύνδεσης σε αυτά. Με άλλα λόγια, το HTTPS γίνεται ο κανόνας, όχι η εξαίρεση. Αν θέλουμε έναν ασφαλέστερο Παγκόσμιο Ιστό, αυτό είναι ένα πολύ σημαντικό βήμα.
