Vad är skillnaden mellan HTTP och HTTPS? Saker du behöver veta för att hålla dig säker online
Mozilla Firefox-användare kan ha snubblat över fall när de försöker skriva text i en onlineformulär och de ser en ruta som säger: ' Anslutningen är inte säker. Inloggningar som anges här kan äventyras. "När Google Chrome-användare går till dessa webbplatser ser de ett "Inte säkert"-meddelande i adressfältet. Vad handlar det här om?
De mer observanta bland er vet förmodligen att vissa webbadresser börjar med "http://" och andra med "https://". Du kanske också har lagt märke till att när webbplatsen laddas under HTTPS ser du en grön hänglåssymbol bredvid webbplatsens adress. Detta gröna hänglås är verkligen viktigt, och vi ska nu förklara varför.
Table of Contents
Vad är HTTP?
HTTP står för Hypertext Transfer Protocol, och utan det skulle du inte läsa det här. HTTP underlättar överföring av text, bilder och andra medier mellan din dator och servern som är värd för webbplatsen du besöker. Att surfa på internet utan detta protokoll skulle vara en helt annan upplevelse.
När Tim Berners-Lee skapade HTTP 1989 var Internet inte exakt allestädes närvarande. Få människor hade tillgång till det, och pionjärerna online såg inte varför någon skulle vilja stjäla information som färdades mellan datorer. Saker, som du förmodligen vet, har förändrats ganska mycket sedan dess.
HTTPS och dess betydelse
När internet växte började fler och fler dåliga människor intressera sig för den ständigt ökande mängden information som flydde runt, och den så kallade Man-In-The-Middle-attacken (MITM) föddes. Som namnet antyder, under en MITM-attack infogar en person sig mellan användarens dator och webbplatsens server och sniffar igenom den strömmande informationen. På så sätt kan skurken stjäla lösenord och manipulera med vad användaren skickar och tar emot.
Det blev snart uppenbart att strategin för att skicka känslig information via Internet borde förändras, och det är så HTTPS, eller HTTP Secure, föddes. HTTPS är en förlängning av HTTP snarare än ett annat protokoll. Det tjänar ett par huvudändamål:
- Kryptera dina data. Kryptering är kärnan i HTTPS. Det förlitade sig initialt på SSL-krypteringsprotokollet Secure Socket Layer, men senare bytte det till SSL: s säkrare efterföljare, Transport Layer Security (TLS). Så här fungerar det i enkla termer. Så snart du upprättar en HTTPS-anslutning utför din webbläsare och servern som är värd för webbplatsen först den så kallade "handskakningen" under vilken de använder ett asymmetriskt chiffer säkert utbyter sessionspecifik data och den kryptografiska nyckeln som kommer att användas för kryptering av informationen. Därefter är varje bit som skickas till och från din dator oläslig för någon annan än du och servern. Som ett resultat, medan en hacker teoretiskt kan fånga dina inloggningsuppgifter för onlinebanker, har de ingen aning om vad din användarnamn och lösenord ser ut. På samma sätt kommer de inte att kunna fånga och ändra information som banken skickar till din dator.
- Försäkrar dig att du är på rätt plats. Syftet med HTTPS är inte bara att förvandla dina data till en oläslig röra med tecken. För att kunna betjäna din webbplats under en HTTPS-anslutning måste du ha ett SSL-certifikat (även om SSL drogs för ett tag sedan, har namnet fastnat). Dessa certifikat utfärdas av de så kallade certifikatutfärdarna (eller CA), och tanken är att de endast ges till legitima webbplatser. Vissa etablerade onlineportaler som PayPal har gått med utvidgade certifikat (EV) -certifikat som visar namnet på webbplatsägaren. Även om säkerhetsexperter räknar med att de inte ger något extra värde, innan de utfärdar ett EV-certifikat, tar CA: er ytterligare åtgärder för att säkerställa att den certifierade enheten är pålitlig. Tanken med vanliga och EV-certifikat är att låta användaren veta att webbplatsen de besöker är inte skadligt.
När du surfar på nätet vill du vara säker på att du alltid är på rätt webbplats, vilket inte är så enkelt som i dag. Med så många nyfikna hackare som lurar runt varje hörn, vill du också vara säker på att uppgifterna du skickar inte är synliga för människor som inte är avsiktliga. I teorin svarar HTTPS på båda frågorna. I verkligheten måste vi fortfarande vara vaksamma.
HTTPS-antagande och problemen som följer med det
I flera år uppmanade säkerhetsexperter webbplatsoperatörer att byta till HTTPS, men deras samtal föll på döva öron, och anledningen var enkel - pengar. SSL-certifikat var ganska dyra och köpades mest av e-handelswebbplatser. Saker förändrades för två och lite år sedan när en ny certifikatutfärdare som heter Let's Encrypt uppstod. Till skillnad från övriga CA: s erbjuder Let's Encrypt SSL-certifikat gratis, och processen är också helt automatiserad vilket innebär att det tar bara några minuter och exakt $ 0 att anta HTTPS.
Problemet med detta är att betjäna webbplatser via en säker anslutning är nu enklare för både legitima onlineföretag och brottslingar. Som ett resultat har experter sett fler och fler phishing-sidor med SSL-certifikat. Och det betyder att det gröna hänglåset inte längre kan betraktas som en pålitlig indikator på en pålitlig och säker webbsida. Det är dock bra att antalet HTTPS-webbplatser har ökat. Ännu bättre, det kommer antagligen att fortsätta öka.
SEO-prestanda för webbplatser som serveras via en osäker anslutning sägs vara lägre, och snart kommer Google Chrome att märka alla HTTP-webbplatser som "Inte säker", inte bara de som har inloggningsformulär på sig. Med andra ord, HTTPS håller på att bli normen, inte undantaget. Om vi vill ha en säkrare World Wide Web är detta ett mycket viktigt steg.
