Какво е HTTPS и защо трябва да се грижа?
HTTPS, иконата за заключване в адресната лента, криптирана връзка към уебсайта - тя е известна като много неща. Макар че веднъж е била запазена предимно за пароли и други чувствителни данни, цялата мрежа постепенно оставя HTTP зад себе си и преминава към HTTPS.
“S” в HTTPS означава “Secure”. Това е защитената версия на стандартния „протокол за прехвърляне на хипертекст”, който вашият уеб браузър използва, когато комуникира с уебсайтове.
Как ви HTTP рискува
Когато се свързвате към уебсайт с обикновен HTTP, браузърът ви търси IP адреса, който съответства на уебсайта, свързва се с този IP адрес и приема, че е свързан с правилния уеб сървър. Данните се изпращат по връзката в чист текст. Подслушвател на Wi-Fi мрежа, доставчикът на интернет услуги или правителствените разузнавателни агенции, като NSA, може да вижда уеб страниците, които посещавате, и данните, които прехвърляте назад и напред.
Има големи проблеми с това. Първо, няма начин да потвърдите, че сте свързани с правилния уебсайт. Може би ти мисля сте влезли в уебсайта на банката си, но сте в компрометирана мрежа, която ви пренасочва към уебсайт на измамник. Паролите и номерата на кредитните карти никога не трябва да се изпращат чрез HTTP връзка или подслушвателят лесно може да ги открадне.
Тези проблеми възникват, защото HTTP връзките не са шифровани. HTTPS връзките са.
Как ви защитава HTTPS шифроването
HTTPS е много по-сигурен от HTTP. Когато се свързвате с HTTPS защитени сайтове, защитени от сървъра, като вашата банка автоматично ще ви пренасочи към HTTPS, вашият уеб браузър проверява сертификата за сигурност на уебсайта и проверява дали той е издаден от легален сертифициращ орган. Това ви помага да се уверите, че ако виждате „https://bank.com“ в адресната лента на вашия уеб браузър, всъщност сте свързани с реалния уебсайт на вашата банка. Компанията, която е издала сертификата за сигурност, отговаря за тях. За съжаление сертифициращите органи понякога издават лоши сертификати и системата се разпада. Въпреки че не е идеален, HTTPS все още е много по-сигурен от HTTP.
Когато изпращате поверителна информация през HTTPS връзка, никой не може да го подслушва по време на транзит. HTTPS е това, което прави сигурно онлайн банкиране и пазаруване възможно.
Той също така осигурява допълнителна поверителност за нормално сърфиране в интернет. Например, търсачката на Google по подразбиране е с HTTPS връзки. Това означава, че хората не могат да виждат това, което търсите в Google.com. Същото се отнася и за Уикипедия и други сайтове. По-рано всеки в същата Wi-Fi мрежа щеше да може да вижда вашите търсения, както и вашият доставчик на интернет услуги.
Защо всеки иска да напусне HTTP?
Първоначално HTTPS беше предназначена за пароли, плащания и други чувствителни данни, но в момента цялата мрежа се движи към нея.
В САЩ вашият доставчик на интернет услуги има право да подслушва историята на сърфирането ви и да го продаде на рекламодателите. Ако мрежата се премести в HTTPS, вашият доставчик на интернет услуги не може да вижда толкова данни, макар че те виждат само, че се свързвате с конкретен уебсайт, за разлика от отделните страници, които разглеждате. Това означава много повече поверителност за сърфирането ви.
Дори по-лошо, HTTP позволява на вашия доставчик на интернет услуги да се намесва в уеб страниците, които посещавате, ако искат. Те могат да добавят съдържание към уеб страницата, да променят страницата или дори да премахват нещата. Например интернет доставчиците могат да използват този метод, за да инжектират повече реклами в уеб страниците, които посещавате. Comcast вече инжектира предупреждения за своята капачка за пропускателна способност, а Verizon е инжектирала суперкуки, използвана за проследяване на реклами. HTTPS не позволява на интернет доставчиците и на всички останали, работещи в мрежа, да се намесват в такива уеб страници.
И, разбира се, не е възможно да се говори за шифроване в интернет, без да се споменава Едуард Сноудън. Документите, пропуснати от Сноуден през 2013 г., показаха, че правителството на САЩ наблюдава уеб страниците, посетени от интернет потребителите по света. Това подпали много технологични компании, за да преминат към по-голямо криптиране и поверителност. С преместването си в HTTPS правителствата по цял свят имат по-трудно време да разглеждат всичките ви навици на сърфиране.
Как браузърите насърчават уебсайтовете да изхвърлят HTTP
Поради това желание да преминете към HTTPS, всички нови стандарти, предназначени да направят мрежата по-бърза, изискват HTTPS криптиране. HTTP / 2 е основна нова версия на HTTP протокола, поддържана във всички основни уеб браузъри. Той добавя компресия, конвейерна обработка и други функции, които помагат за по-бързо зареждане на уеб страниците. Всички уеб браузъри изискват от сайтовете да използват HTTPS криптиране, ако искат тези полезни нови HTTP / 2 функции. Съвременните устройства също имат специален хардуер за обработка на криптирането на AES. Това означава, че HTTPS трябва да бъде по-бърз от HTTP.
Докато браузърите правят HTTPS привлекателен с нови функции, Google прави HTTP непривлекателен, като наказва уебсайтовете за използването му. Google планира да маркира уебсайтове, които не използват HTTPS като опасни в Chrome, и Google иска да даде приоритет на уебсайтове, които използват HTTPS в резултатите от търсенето с Google. Това осигурява силен стимул за уебсайтовете да мигрират към HTTPS.
Как да проверите дали сте свързани към уеб сайт, използвайки HTTPS
Можете да кажете, че сте свързани с уебсайт с HTTPS връзка, ако адресът в адресната лента на вашия уеб браузър започва с „https: //“. Ще видите и икона за заключване, която можете да кликнете за повече информация за сигурността на уебсайта.
Това изглежда малко по-различно във всеки браузър, но повечето браузъри имат обща икона на https: // и заключване. Някои браузъри сега скриват „https: //“ по подразбиране, така че ще видите икона за заключване до името на домейна на уебсайта. Ако обаче кликнете или натиснете в адресната лента, ще видите частта „https: //“ от адреса.
Ако използвате непозната мрежа и се свързвате с уебсайта на банката си, уверете се, че виждате HTTPS и правилния адрес на уебсайта. Това ви помага да се уверите, че всъщност сте свързани с уебсайта на банката, въпреки че това не е сигурно решение. Ако не виждате индикатор за HTTPS на страницата за вход, може да сте свързани с уебсайт на измамник в компрометирана мрежа.
Следете за фишинг трикове
Самото присъствие на HTTPS не е гаранция, че сайтът е легитимен. Някои умни измамници са осъзнали, че хората търсят индикатора HTTPS и иконата за заключване и могат да се откажат от начина си на прикриване на своите уебсайтове. Така че все още трябва да внимавате: не щракнете върху връзки в имейли за фишинг, или може да се окажете на умно прикрита страница. Измамниците могат да получат сертификати и за техните сървъри. На теория им е забранено само да се представят за сайтове, които не притежават. Може да видите адрес като https://google.com.3526347346435.com. В този случай използвате HTTPS връзка, но наистина сте свързани с поддомейн на сайт с име 3526347346435.com - не Google.
Други измамници могат да имитират иконата за заключване, променяйки favicon на уебсайта си, който се появява в адресната лента, до заключване, за да се опита да ви подмами. Внимавайте за тези трикове, когато проверявате връзката си с уебсайт.