Hva er forskjellen mellom HTTP og HTTPS? Ting du trenger å vite for å være sikker på nettet
Mozilla Firefox-brukere kan ha snublet over tilfeller når de prøver å legge inn litt tekst i et elektronisk skjema, og de ser en rute som sier: ' Tilkoblingen er ikke sikker. Innlogginger som er lagt inn her, kan bli kompromittert. 'Når Google Chrome-brukere går til disse nettstedene, ser de en' Ikke sikker '-melding i adressefeltet. Hva er alt dette om?
De mer observante blant dere vet sannsynligvis at noen nettadresser begynner med "http://" og andre med "https://". Du har kanskje også lagt merke til at når nettstedet lastes inn under HTTPS, ser du et grønt hengelåssymbol ved siden av adressen til nettstedet. Denne grønne hengelåsen er veldig viktig, og vi skal nå forklare hvorfor.
Table of Contents
Hva er HTTP?
HTTP står for Hypertext Transfer Protocol, og uten den ville du ikke lest dette. HTTP letter overføringen av tekst, bilder og andre medier mellom datamaskinen og serveren som er vert for nettstedet du besøker. Å surfe på internett uten denne protokollen ville være en veldig annen opplevelse.
Da Tim Berners-Lee opprettet HTTP i 1989, var Internett ikke akkurat allestedsnærværende. Få mennesker hadde tilgang til det, og pionerene på nettet så ikke hvorfor noen ville ønske å stjele informasjon som reiste mellom datamaskiner. Ting, som du sikkert vet, har endret seg ganske mye siden den gang.
HTTPS og dens betydning
Etter hvert som internett vokste, begynte flere og flere dårlige mennesker å interessere seg for den stadig økende mengden informasjon som flyr rundt, og det såkalte Man-In-The-Middle (MITM) angrepet ble født. Som navnet antyder, under et MITM-angrep, setter en person seg mellom brukerens datamaskin og nettstedets server og snuser gjennom de flytende dataene. På den måten kan kjeltringen stjele passord og tukle med det brukeren sender og mottar.
Det viste seg snart at tilnærmingen til å sende sensitiv informasjon over Internett skulle endres, og det var slik HTTPS, eller HTTP Secure, ble født. HTTPS er en utvidelse av HTTP i stedet for en annen protokoll. Det tjener et par hovedformål:
- Kryptering av dataene dine. Kryptering er kjernen i HTTPS. Den baserte seg først på krypteringsprotokollen Secure Socket Layer (SSL), men den byttet senere til SSLs sikrere etterfølger, Transport Layer Security (TLS). Slik fungerer det i enkle ord. Så snart du oppretter en HTTPS-tilkobling, utfører nettleseren din og serveren som er vert for nettstedet først det såkalte "håndtrykket" der de bruker en asymmetrisk chiffer, utveksler sikkerhetsspesifikke data og den kryptografiske nøkkelen som vil bli brukt til kryptering av informasjonen. Fra da av er hver bit av data som sendes til og fra datamaskinen din uleselig for alle andre enn deg og serveren. Som et resultat, mens en hacker teoretisk sett kan oppdage dine innloggingsinformasjon på nettbank, vil de ikke ha noen anelse om hva brukernavn og passord ser ut. På samme måte vil de ikke kunne fange opp og endre data som banken sender til PC-en din.
- Å forsikre deg om at du er på rett sted. Hensikten med HTTPS er ikke bare å gjøre dataene dine til et uleselig tegn med tegn. For å tjene nettstedet ditt under en HTTPS-tilkobling, må du ha et SSL-sertifikat (selv om SSL ble grøftet for en stund siden, har navnet satt seg fast). Disse sertifikatene er utstedt av de såkalte Certificate Autorities (eller CAs), og ideen er at de bare gis til legitime nettsteder. Noen etablerte nettportaler som PayPal har søkt utvidede sertifikater (EV) som vil vise navnet til nettstedseieren. Selv om sikkerhetseksperter regner med at de ikke gir noen ekstra verdi, før CA utsteder et EV-sertifikat, tar CAer ytterligere tiltak for å sikre at den sertifiserte enheten er pålitelig. Tanken med vanlige og EV-sertifikater er å gi brukeren beskjed om at nettstedet de besøker er ikke ondsinnet.
Når du surfer på nettet, vil du være sikker på at du alltid er på det rette nettstedet, som i dag og alder ikke er så enkelt som det kan se ut. Med så mange nysgjerrige hackere som lurer rundt hvert hjørne, vil du også være trygg på at dataene du sender ikke er synlige for dårlige hensikter. I teorien svarer HTTPS på begge spørsmålene. I virkeligheten må vi fortsatt være årvåken.
HTTPS-adopsjon og problemene som følger med det
I årevis oppfordret sikkerhetseksperter nettstedoperatører til å gå over til HTTPS, men samtalene deres falt på døve ører, og årsaken var enkel - penger. SSL-sertifikater var ganske dyre og ble stort sett kjøpt av nettsteder. Ting forandret seg for to og litt år siden da en ny Certificate Authority kalt Let's Encrypt dukket opp. I motsetning til resten av CA-ene, tilbyr Let's Encrypt gratis SSL-sertifikater, og prosessen er også fullstendig automatisert, noe som betyr at det å ta HTTPS tar bare noen få minutter og nøyaktig $ 0.
Problemet med dette er at servering av nettsteder over en sikker tilkobling nå er enklere for både legitime online virksomheter og kriminelle. Som et resultat har eksperter sett flere og flere phishing-sider med SSL-sertifikater. Og dette betyr at den grønne hengelåsen ikke lenger kan betraktes som en pålitelig indikator på en pålitelig, sikker webside. Det er likevel en god ting at antall HTTPS nettsteder har økt. Enda bedre, vil det sannsynligvis fortsette å øke.
SEO-ytelsen til nettsteder som serveres via en usikker forbindelse, sies å være lavere, og snart vil Google Chrome merke alle HTTP-nettsteder som "Ikke sikre", ikke bare de som har et påloggingsskjema på seg. Med andre ord, HTTPS blir normen, ikke unntaket. Hvis vi ønsker en tryggere internett, er dette et veldig viktig skritt.
