Zielona ikona kłódki na pasku adresu URL nie jest już symbolem, któremu można zaufać
Przez lata ciągle mówiono ci, abyś nie podawał swoich prywatnych informacji na stronie internetowej, która nie ma zielonej kłódki w pasku adresu. Niektórzy z was posłuchali tej rady, a niektórzy nie, ale czy zastanawialiście się kiedyś, co oznacza ta zielona kłódka i jak działa?
Chociaż przeglądarki takie jak Google Chrome powoli go wycofują (przyczyny tego staną się oczywiste za chwilę), zielona kłódka jest nadal powszechnie uznawana za znak, że przeglądana witryna ma certyfikat SSL i jest ładowana pod HTTPS. To z kolei oznacza, że wszystkie informacje przychodzące i przechodzące na stronę są szyfrowane i są bezpieczne przed atakami Man-in-the-Middle.
Wcześniej eksperci mieli kolejny powód, aby ostrzec cię, aby nie wprowadzać danych na stronach internetowych, które nie zostały załadowane przez HTTPS. Certyfikaty SSL są wydawane przez urzędy certyfikacji (CA), które pobierały za nie kilkaset dolarów rocznie. Jak można się spodziewać, oszuści nie byli przygotowani na wydawanie tego rodzaju pieniędzy, aby ich strony phishingowe wyglądały bardziej jak prawdziwe, a nawet gdyby tak było, nie przeszliby niektórych ręcznych kontroli przeprowadzonych w tamtych czasach. Innymi słowy, prawdziwe formularze logowania do Amazon miały zielone zamki, a fałszywe nie. Niestety tak już nie jest.
Table of Contents
Pojawienie się bezpłatnych certyfikatów SSL i ich wpływ na Internet
Niestety, oszuści nie byli jedynymi, którzy nie prowadzili swoich witryn przez HTTPS. Certyfikaty SSL były również zbyt drogie dla wielu legalnych właścicieli witryn, co oznaczało, że sporo sklepów internetowych ujawniało dane swoich klientów. Coś musiało zostać zrobione.
W 2014 r. Utworzono nowy urząd certyfikacji Let's Encrypt, który zaczął oferować certyfikaty SSL całkowicie bezpłatnie. Internetowi podobał się ten pomysł.
Let's Encrypt oficjalnie opuścił Beta w kwietniu 2016 r., Kiedy z dumą ogłosił, że liczba wydanych certyfikatów wahała się w okolicy 1,7 miliona. Zaledwie czternaście miesięcy później było ponad 100 milionów certyfikatów Let's Encrypt.
Bezpłatne certyfikaty SSL są teraz oferowane również przez inne urzędy certyfikacji, dlatego HTTPS staje się raczej normą niż wyjątkiem. W sierpniu specjalista ds. Bezpieczeństwa Scott Helme powiedział, że po raz pierwszy ponad połowa witryn Alexa Top 1 Million została załadowana pod HTTPS. Ta zmiana skłoniła dostawców przeglądarki do porzucenia zielonej ikony kłódki i zastąpienia jej większym znakiem „Niezabezpieczony”, gdy strona nie jest ładowana w trybie HTTPS. Rzeczywiście, kłódka nie jest tak przydatna, jak kiedyś.
Prawie 50% wszystkich stron phishingowych jest teraz ładowanych przez HTTPS
Pojawienie się darmowych certyfikatów SSL jest jedną z dobrych rzeczy, które ostatnio przydarzyły się światu. Chociaż nie są panaceum, umożliwiły mniejszym sprzedawcom internetowym nie tylko przetrwanie, ale także rozwój, a nawet najbardziej podstawowe strony HTML nie mają usprawiedliwienia dla działania pod HTTP.
Niestety, jeśli certyfikaty SSL są bezpłatne i łatwe do skonfigurowania dla legalnych właścicieli witryn, są one również bezpłatne i łatwe do skonfigurowania dla oszustów. W rzeczywistości PhishLabs, firma zajmująca się wywiadem i ograniczaniem zagrożeń, powiedziała Brianowi Krebsowi, że bardzo blisko połowa (około 49%) wszystkich stron phishingowych wykrytych w trzecim kwartale tego roku została załadowana pod HTTPS. To PhishLabs że na Twitter, wynosi od 35% w Q2 i 33% w Q1.
Oszuści aktywnie konfigurują certyfikaty SSL na swoich stronach oszustw, częściowo dlatego, że jest to łatwe i nic ich nie kosztuje, a częściowo ze względu na zmiany, które wprowadzają producenci przeglądarek. Zdają sobie sprawę, że użytkownicy znacznie rzadziej przekazują swoje dane osobowe stronie internetowej załadowanej pod widocznym ostrzeżeniem „Niezabezpieczone”.
Co możemy z tym zrobić?
Czy to oznacza, że decyzja dostawców przeglądarki o odejściu od zielonej kłódki jest ogromnym błędem? Nie, nie ma. Prostym faktem jest to, że ikona kłódki nigdy nie będzie tak przydatna, jak kiedyś. Jeśli pozostanie, nie wpłynie to na obecną sytuację, ponieważ jeśli oszuści zdecydują, że go potrzebują, po prostu otrzymają bezpłatny certyfikat SSL.
Czy nie powinniśmy więc pozbyć się bezpłatnych certyfikatów SSL? Nie powinniśmy. Odmowa dostawcom bezpłatnej ochrony danych swoich klientów będzie ogromnym krokiem wstecz i narazi na niebezpieczeństwo dane osobowe milionów ludzi. Zamiast tego musimy nauczyć jak najwięcej użytkowników, czym jest HTTPS.
HTTPS nie jest wskaźnikiem wiarygodności. Jeśli nie jest obecny, możesz być pewien, że witryna, którą przeglądasz, nie powinna być zaufana, ale nawet jeśli tam jest, nadal możesz patrzeć na oszustwo. Są inne czynniki, na które należy zwrócić szczególną uwagę.
