Što je HTTPS i zašto trebam brinuti?
HTTPS, ikona zaključavanja u adresnoj traci, šifrirana veza s web-lokacijom - poznata je kao mnogo stvari. Iako je nekada bio rezerviran prvenstveno za zaporke i druge osjetljive podatke, cijeli web postupno napušta HTTP i prelazi na HTTPS.
"S" u HTTPS-u znači "Sigurno". To je sigurna verzija standardnog "protokola prijenosa hiperteksta" koji vaš web-preglednik koristi za komunikaciju s web-lokacijama.
Kako vas HTTP ugrožava
Kada se povežete s web-lokacijom pomoću uobičajenog HTTP-a, vaš preglednik traži IP adresu koja odgovara web-lokaciji, povezuje se s tom IP adresom i pretpostavlja da je povezana s ispravnim web-poslužiteljem. Podaci se šalju preko veze u čistom tekstu. Prisluškivač na Wi-Fi mreži, vaš davatelj internetskih usluga ili državne obavještajne agencije poput NSA mogu vidjeti web-stranice koje posjećujete i podatke koje prenosite naprijed i natrag.
S time postoje veliki problemi. Prije svega, nema načina da potvrdite da ste povezani s ispravnom web-lokacijom. Možda ti razmišljati pristupili ste web-lokaciji svoje banke, ali ste na kompromitiranoj mreži koja vas preusmjerava na web-lokaciju prevaranta. Lozinke i brojevi kreditnih kartica ne bi smjeli biti poslani putem HTTP veze ili ih je moguće jednostavno ukrasti.
Ti se problemi pojavljuju jer HTTP veze nisu šifrirane. HTTPS veze su.
Kako vas HTTPS šifriranje štiti
HTTPS je mnogo sigurniji od HTTP-a. Kada se povežete s HTTPS zaštićenim web-mjestima sigurnim za poslužitelje kao što je vaša banka automatski će vas preusmjeriti na HTTPS-a, vaš web-preglednik provjerava sigurnosni certifikat web-lokacije i provjerava je li ga izdalo legitimno tijelo za izdavanje certifikata. Na taj ćete način osigurati da, ako u adresnoj traci preglednika vidite “https://bank.com”, zapravo ste spojeni na stvarnu web-lokaciju banke. Tvrtka koja je izdala sigurnosni certifikat jamči za njih. Nažalost, tijela za izdavanje certifikata ponekad izdaju loše potvrde i sustav se raspada. Iako to nije savršeno, HTTPS je još mnogo sigurniji od HTTP-a.
Kada šaljete osjetljive informacije putem HTTPS veze, nitko ne može prisluškivati na njemu u tranzitu. HTTPS je ono što omogućuje sigurno online bankarstvo i kupnju.
Također pruža dodatnu privatnost i za normalno pregledavanje weba. Na primjer, Googleova tražilica sada je postavljena na HTTPS veze. To znači da ljudi ne mogu vidjeti što tražite na Google.com. Isto vrijedi i za Wikipediju i druge stranice. Ranije je bilo tko na istoj Wi-Fi mreži mogao vidjeti vaša pretraživanja, kao i vaš davatelj internetskih usluga.
Zašto svi žele izaći iz HTTP-a
HTTPS je izvorno bio namijenjen za zaporke, plaćanja i druge osjetljive podatke, ali se cijeli web sada pomiče prema njemu.
U SAD-u je vaš davatelj internetskih usluga dopušteno njuškati na vašoj povijesti pregledavanja weba i prodavati je oglašivačima. Ako se web premjesti na HTTPS, vaš davatelj internetskih usluga ne može vidjeti toliko podataka, iako - oni vide da se povezujete s određenom web-lokacijom, za razliku od pojedinačnih stranica koje pregledavate. To znači mnogo više privatnosti za vaše pregledavanje.
Još gore, HTTP dopušta vašem davatelju internetskih usluga da neovlašteno mijenja web-stranice koje posjećujete, ako to žele. Mogli su dodati sadržaj na web-stranicu, izmijeniti stranicu ili čak ukloniti stvari. Na primjer, ISP-ovi bi mogli koristiti ovu metodu za ubacivanje više oglasa na web stranice koje posjećujete. Comcast već ubrizgava upozorenja o ograničenju propusnosti, a Verizon je ubrizgao supercookie koji se koristi za praćenje oglasa. HTTPS sprječava ISP-ovima i svima ostalima koji pokreću mrežu da neovlašteno diraju web-stranice poput ove.
I, naravno, nemoguće je govoriti o šifriranju na webu bez spominjanja Edwarda Snowdena. Dokumenti koje je Snowden objavio 2013. pokazali su da vlada SAD-a prati web-stranice koje posjećuju korisnici Interneta širom svijeta. To je zapalilo vatru kod mnogih tehnoloških tvrtki da se kreću prema povećanom šifriranju i privatnosti. Prelaskom na HTTPS, vlade širom svijeta imaju teže vrijeme gledanja svih vaših navika pregledavanja.
Kako preglednici ohrabruju web-lokacije da ispuste HTTP
Zbog te želje za prelaskom na HTTPS, svi novi standardi dizajnirani kako bi web ubrzali zahtijevaju HTTPS enkripciju. HTTP / 2 je glavna nova verzija HTTP protokola podržana u svim većim web-preglednicima. Dodaje kompresiju, cjevovode i druge značajke koje omogućuju brže učitavanje web-stranica. Svi web-preglednici zahtijevaju da web-lokacije koriste HTTPS šifriranje ako žele ove korisne nove značajke HTTP / 2. Moderni uređaji imaju i namjenski hardver za obradu HTTP-a potrebnog za AES enkripciju. To znači da bi HTTPS trebao biti brži od HTTP-a.
Dok preglednici čine HTTPS atraktivnim s novim značajkama, Google čini HTTP neprivlačnim tako što kažnjava web-lokacije za njegovo korištenje. Google planira označiti web-lokacije koje ne upotrebljavaju HTTPS kao nesigurne u Chromeu, a Google želi odrediti prioritete web-lokacija koje koriste HTTPS u Google rezultatima pretraživanja. To daje snažan poticaj web-lokacijama da migriraju na HTTPS.
Kako provjeriti jeste li povezani s web-mjestom pomoću HTTPS-a
Možete reći da ste povezani s web-lokacijom s HTTPS vezom ako adresa u adresnoj traci web-preglednika počinje s "https: //". Vidjet ćete i ikonu zaključavanja koju možete kliknuti za više informacija o sigurnosti web-lokacije.
To izgleda malo drugačije u svakom pregledniku, ali većina preglednika ima zajedničku ikonu https: // i lock. Neki preglednici prema zadanim postavkama skrivaju "https: //" pa ćete pored naziva domene web-lokacije vidjeti ikonu zaključavanja. Međutim, ako kliknete ili dodirnete unutar adresne trake, vidjet ćete dio https: //.
Ako koristite nepoznatu mrežu i povezujete se na web-lokaciju banke, provjerite prikazuje li se HTTPS i ispravna adresa web-lokacije. To vam pomaže osigurati da ste zapravo povezani s internetskom stranicom banke, iako to nije sigurno rješenje. Ako na stranici za prijavu ne vidite HTTPS indikator, možda ste povezani s web-lokacijom varalica na kompromitiranoj mreži.
Pazite na krađu identiteta
Prisutnost samog HTTPS-a nije jamstvo da je stranica legitimna. Neki pametni phishers su shvatili da ljudi traže HTTPS indikator i ikonu za zaključavanje, i mogu se otarasiti načina da prikriju svoje web-lokacije. Stoga biste trebali biti oprezni: nemojte kliknuti veze u e-pošti za krađu identiteta ili se možete naći na pametno skrivenoj stranici. Scammers mogu dobiti certifikate za svoje muljaža poslužitelja, previše. Teoretski, oni su samo spriječeni da oponašaju web-lokacije koje ne posjeduju. Možda ćete vidjeti adresu kao što je https://google.com.3526347346435.com. U tom slučaju upotrebljavate HTTPS vezu, ali ste stvarno povezani s poddomenom web-lokacije pod nazivom 3526347346435.com-ne Google.
Drugi prevaranti mogu oponašati ikonu zaključavanja, mijenjajući favicon svoje web-lokacije koja se pojavljuje u adresnoj traci u bravi kako bi vas pokušala prevariti. Pratite ove trikove prilikom provjere veze s web-lokacijom.