A zöld lakat ikon az URL-sávban már nem olyan szimbólum, amelyben megbízhat

Green Padlock Icon

Évek óta folyamatosan azt mondják neked, hogy ne adja meg személyes adatait egy olyan webhelyen, amelynek a zöld címe nincs a címsorban. Néhányan hallgattad ezt a tanácsot, másoknak nem, de gondolkozol már azon, vajon mi áll ez a zöld lakattal és hogyan működik?

Bár a böngészők, mint például a Google Chrome, lassan megszüntetik (ennek okai egy percen belül világossá válnak), a zöld lakat továbbra is általánosan elismerten jelzi, hogy a megtekintett weboldal SSL tanúsítvánnyal rendelkezik, és a HTTPS alatt van betöltve. Ez viszont azt jelenti, hogy a webhelyről érkező és a webhelyre érkező összes információ titkosítva van, és biztonságban van a Közép-ember támadásaitól.

A nap folyamán a szakértőknek még egy okuk volt arra, hogy figyelmeztessék Önt, hogy ne adja meg adatait olyan webhelyeken, amelyeket nem töltöttek be a HTTPS-en keresztül. Az SSL tanúsítványokat a Tanúsító Hatóságok adják ki, amelyek évente több száz dollárt számítottak fel számukra. Előreláthatólag a csalók nem voltak hajlandóak ilyen pénzt felszedni, hogy az adathalász oldalak inkább az igazihoz hasonlítsanak, és még ha így is lennének, nem sikerült volna átadniuk néhány olyan kézi ellenőrzést, amelyet akkoriban végeztek el. Más szavakkal, a valódi Amazon bejelentkezési űrlapokon zöld zárak voltak, a hamis formákon pedig nem. Sajnos ez már nem így van.

Ingyenes SSL tanúsítványok megjelenése és azok internetre gyakorolt hatása

Sajnos a csalók nem csak azok voltak, akik nem tudták weboldalaikat a HTTPS-en keresztül irányítani. Az SSL tanúsítványok túl drágák voltak sok legitim webhelytulajdonos számára is, ami azt jelentette, hogy sok online üzlet hagyta, hogy ügyfeleik adatai hozzáférhetőek legyenek. Valamit meg kellett csinálni.

2014-ben létrehoztunk egy új, Let's Encrypt névvel rendelkező CA-t, amely teljesen ingyenesen kezdte el nyújtani az SSL tanúsítványokat. Az internet tetszett az ötletért.

2016. áprilisában büszkén jelentettük be, hogy a Encrypt hivatalosan kilépett a Bétából, amikor kijelentette, hogy az általa kiadott bizonyítványok száma 1,7 millió körül mozog. Alig tizennégy hónappal később több mint 100 millió lettek titkosítva tanúsítványok.

Az ingyenes SSL-tanúsítványokat más CA-k is kínálják, és ezek miatt a HTTPS inkább normává válik, mint kivételként. Scott Helme biztonsági szakember augusztusban elmondta, hogy az Alexa Top 1 millió webhelyének több mint felét a HTTPS alatt töltötték be először. Ez a váltás arra késztette a böngésző forgalmazóit, hogy átugorják a zöld zár ikont, és cseréljék ki egy nagyobb „Nem biztonságos” jelre, ha egy oldal nem töltődik be a HTTPS alá. Valójában a lakattal nem olyan közel van olyan hasznos, mint régen.

Az összes adathalász oldal közel 50% -át most töltik be a HTTPS-en

Ingyenes SSL tanúsítványok megjelenése az egyik jó dolog, ami a közelmúltban történt a világgal. Annak ellenére, hogy nem csodaszer, lehetővé tették a kisebb online gyártók számára, hogy ne csak túléljék, hanem virágzzanak, és most még a legalapvetőbb HTML webhelyek sem rendelkeznek mentséggel a HTTP alatt történő futtatáshoz.

Sajnos, ha az SSL-tanúsítványok ingyenesek és könnyen telepíthetők a jogszerű weboldaltulajdonosok számára, ingyenesek és könnyen beállíthatók a csalók számára is. Valójában a PhishLabs, a fenyegetést felmérő és mérséklő társaság azt mondta Brian Krebs-nek, hogy az összes, az év harmadik negyedévében felfedezett adathalász-oldalnak majdnem felét (kb. 49% -át) HTTPS alatt töltötték be. PhishLabs szerint a Twitteren ez a második negyedévben 35% -ról, az első negyedévben pedig 33% -ról nő.

A csalók aktívan állítják be az SSL tanúsítványokat az átverésük oldalain, részben azért, mert ezt könnyű megtenni, és nem számít nekik sem, és részben a böngésző gyártói által végrehajtott változtatások miatt. Rájönnek, hogy a felhasználók sokkal ritkábban adják át személyes adataikat egy olyan webhelyre, amelyet látható "Nem biztonságos" figyelmeztetés alatt töltöttek be.

Mit tehetünk vele?

Ez azt jelenti, hogy a böngésző gyártói döntése, hogy elmozdulnak a zöld lakatról, óriási hiba? Nem, nem így van. A helyzet egyszerű ténye, hogy a zár ikon soha nem lesz olyan hasznos, mint régen. Ha marad, akkor nincs hatással a jelenlegi helyzetre, mert ha a csalók úgy döntenek, hogy szükségük van rájuk, akkor csak ingyenes SSL-igazolást kapnak.

Akkor nem szabad megszabadulnunk az ingyenes SSL-igazolásoktól? Nem, nem kellene. Ha az eladók megtagadják az ügyfelek adatainak ingyenes védelmét, akkor nagy előrelépés lesz, és emberek milliói személyes adatainak millióit súlyos veszély fenyegeti. Ehelyett inkább azt kell megtanítanunk a lehető legtöbb felhasználó számára, hogy mi a HTTPS.

A HTTPS nem jelzi a megbízhatóságot. Ha nem jelen van, akkor biztos lehet abban, hogy a megtekintett webhelyet nem szabad megbízni, de még ha ott is van, akkor továbbra is csalást kereshet. Vannak más tényezők is, amelyekre fokozottabban kell figyelni.

January 3, 2020

Válaszolj