Mi a különbség a HTTP és a HTTPS között? Azok a dolgok, amelyeket tudnia kell az online biztonság megőrzéséhez

Lehetséges, hogy a Mozilla Firefox felhasználói becsapódtak olyan esetekbe, amikor valamilyen szöveget próbálnak online űrlapba beírni, és egy dobozt látnak: "A kapcsolat nem biztonságos. Az itt megadott bejelentkezések veszélybe kerülhetnek. 'Amikor a Google Chrome felhasználói felkeresik ezeket a webhelyeket, a címsoron a' Nem biztonságos 'üzenetet látják. Mi ez az egész?

A figyelmesebb közületek valószínűleg tudja, hogy egyes URL-ek "http://"-nel kezdődnek, mások "https://"-nel kezdődnek. Azt is észrevette, hogy amikor a webhely HTTPS alatt töltődik be, egy zöld lakat szimbólumot lát a webhely címe mellett. Ez a zöld laka nagyon fontos, és most megmagyarázzuk miért.

Mi a HTTP?

A HTTP a Hypertext Transfer Protocol-t jelenti, és nélküle nem olvasnád ezt. A HTTP megkönnyíti a szöveg, képek és más média átvitelét a számítógép és a meglátogatott webhelyet kiszolgáló szerver között. Az internet böngészése e protokoll nélkül nagyon más élmény lenne.

Amikor Tim Berners-Lee 1989-ben létrehozta a HTTP-t, az internet nem volt mindenütt jelen. Kevés ember férhetett hozzá ehhez, és az online úttörők nem tudták, miért akarnak valaki ellopni a számítógépek között utazó információkat. A dolgok, amint valószínűleg tudod, azóta kissé megváltoztak.

A HTTPS és annak fontossága

Az internet növekedésével egyre több rossz ember kezdte érdeklődését az egyre növekvő mennyiségű információ iránt, amely körül repült, és megszületett az úgynevezett Man-in-the-Middle (MITM) támadás. Ahogy a neve is sugallja, egy MITM támadás során valaki beilleszkedik a felhasználó számítógépéhez és a webhely szerveréhez, és szimatolni kezdi az áramló adatokat. Ilyen módon a csaló ellophatja a jelszavakat, és meghamisíthatja azt, amit a felhasználó küld és fogad.

Hamarosan kiderült, hogy meg kell változtatni az érzékeny információk internetes küldésének megközelítését, és így született a HTTPS, vagyis a HTTP Secure. A HTTPS a HTTP kiterjesztése, nem pedig egy másik protokoll. Néhány fő célt szolgál:

• Az adatok titkosítása. A titkosítás a HTTPS középpontjában áll. Kezdetben a Secure Socket Layer (SSL) kriptográfiai protokollra támaszkodott, de később az SSL biztonságosabb utódjára, a Transport Layer Security (TLS) -re váltott. Így működik egyszerűen. Amint létrejön a HTTPS kapcsolat, a böngésző és a webhelyet kiszolgáló először elvégzi az úgynevezett "kézfogást", amelynek során aszimmetrikus rejtjel használatával biztonságosan cserélnek munkamenet-specifikus adatokat és a titkosítási kulcs, amelyet az információ titkosításához használnak. Ettől kezdve minden, a számítógépére küldött és a számítógépről küldött adat senkinek, csak Önnek és a kiszolgálónak olvashatatlan. Ennek eredményeként, míg a hacker elméletileg elhallgathatja az online banki bejelentkezési hitelesítő adatait, fogalmam sincs, mi az Ön felhasználónév és jelszavak néznek ki. Hasonlóképpen, nem képesek rögzíteni és módosítani azokat az adatokat, amelyeket a bank küld a számítógépére.
• Annak biztosítása, hogy a megfelelő helyen vagy. A HTTPS célja nem csak az, hogy adatait olvashatatlan karakterekké alakítsa. Webhelyének HTTPS-kapcsolaton keresztüli kiszolgálásához SSL-tanúsítvánnyal kell rendelkeznie (annak ellenére, hogy az SSL egy ideje átemelésre került, a név elakadt). Ezeket a tanúsítványokat az úgynevezett tanúsító hatóságok (vagy hitelesítésszolgáltatók) állítják ki, és az a gondolat, hogy csak törvényes webhelyeknek adják ki őket. Néhány létrehozott online portál, például a PayPal, kiterjesztett érvényességű (EV) tanúsítványokat igényelt, amelyek megjelenítik a webhely tulajdonosának nevét. Noha a biztonsági szakértők úgy vélik, hogy nem adnak semmiféle extra értéket, az EV tanúsítvány kiadása előtt a hitelesítésszolgáltatók további lépéseket tesznek annak biztosítása érdekében, hogy a tanúsított szervezet megbízható legyen. A rendszeres és az EV tanúsítványok célja, hogy tudatosítsák a felhasználót a látogatott webhelyről. nem rosszindulatú.

A neten szörfözve biztosítani szeretné, hogy mindig a megfelelő webhelyen tartózkodjon, amely manapság nem olyan egyszerű, mint amilyennek látszik. Mivel minden sarok körül zaklató hackerek bukkannak, bíznunk kell abban is, hogy az elküldött adatok nem láthatók rossz szándékú emberek számára. Elméletileg a HTTPS mindkét kérdésre válaszol. A valóságban továbbra is ébernek kell lennünk.

A HTTPS elfogadása és a vele járó problémák

A biztonsági szakértők évek óta sürgették a weboldal üzemeltetőit, hogy váltsanak át a HTTPS-re, ám hívásaik süket fülekre estek, és az ok egyszerű - pénz. Az SSL-tanúsítványok meglehetősen drágák voltak, és főként az e-kereskedelemmel foglalkozó webhelyek vásárolták meg. A dolgok két és kicsit évvel ezelőtt megváltoztak, amikor létrejött egy új, a Encrypt nevű igazolási hatóság. A többi CA-tól eltérően a Let's Encrypt ingyenesen kínál SSL-tanúsítványokat, és a folyamat szintén teljesen automatizált, ami azt jelenti, hogy a HTTPS elfogadása csak néhány percet vesz igénybe, pontosan 0 dollárt.

Ennek problémája az, hogy a webhelyek biztonságos kapcsolaton keresztül történő kiszolgálása egyszerűbb mind a legális online vállalkozások, mind a bűnözők számára. Ennek eredményeként a szakértők egyre több és több adathalász oldalt láttak SSL tanúsítvánnyal. És ez azt jelenti, hogy a zöld lakat már nem lehet megbízható mutatójának tekinteni egy megbízható, biztonságos weboldalról. Ennek ellenére jó dolog az a tény, hogy a HTTPS webhelyek száma megnőtt. Még jobb, ha valószínűleg tovább fog növekedni.

A bizonytalan kapcsolaton keresztül kiszolgált webhelyek SEO teljesítményét alacsonyabb szintre állítják, és a Google Chrome hamarosan az összes HTTP webhelyet "Nem biztonságos" -ként fogja jelölni, nem csak azokat, amelyek bejelentkezési űrlapot tartalmaznak. Más szóval, a HTTPS normává válik, nem kivétel. Ha biztonságosabb World Wide Web-t akarunk, ez egy nagyon fontos lépés.