Co je HTTPS a proč bych se měl starat?

HTTPS, ikona zámku v adresním řádku, šifrované připojení k webu - je známo mnoho věcí. Zatímco dříve byl vyhrazen primárně pro hesla a další citlivá data, celý web postupně opouští HTTP a přechází na HTTPS.

„S“ v HTTPS znamená „zabezpečené“. Je to zabezpečená verze standardního „protokolu přenosu hypertextu“, který váš webový prohlížeč používá při komunikaci s webovými stránkami.

Jak vás HTTP vystavuje riziku

Když se připojíte k webu pomocí běžného protokolu HTTP, váš prohlížeč vyhledá adresu IP, která odpovídá webu, připojí se k této adrese IP a předpokládá, že je připojen ke správnému webovému serveru. Data se přes připojení odesílají jako prostý text. Odposlouchávač v síti Wi-Fi, váš poskytovatel internetových služeb nebo vládní zpravodajské agentury, jako je NSA, mohou vidět webové stránky, které navštěvujete, a data, která přenášíte sem a tam.

SOUVISEJÍCÍ: Co je šifrování a jak to funguje?

S tím jsou velké problémy. Za prvé neexistuje způsob, jak ověřit, že jste připojeni ke správnému webu. Možná si myslíte, že jste navštívili web své banky, ale jste v kompromitované síti, která vás přesměrovává na podvodníka. Hesla a čísla kreditních karet by se nikdy neměla odesílat přes připojení HTTP, jinak by je mohl odposlech snadno ukrást.

K těmto problémům dochází, protože připojení HTTP nejsou šifrována. Připojení HTTPS jsou.

Jak vás chrání šifrování HTTPS

SOUVISEJÍCÍ: Jak prohlížeče ověřují totožnost webových stránek a chrání před podvodníky

HTTPS je mnohem bezpečnější než HTTP. Když se připojíte k serveru zabezpečenému pomocí protokolu HTTPS - zabezpečené weby, jako jsou vaše banky, vás automaticky přesměrují na protokol HTTPS - váš webový prohlížeč zkontroluje certifikát zabezpečení webu a ověří, zda byl vydán legitimní certifikační autoritou. To vám pomůže zajistit, že pokud se v adresním řádku vašeho webového prohlížeče zobrazí „//bank.com“, jste skutečně připojeni ke skutečnému webu vaší banky. Společnost, která vydala bezpečnostní certifikát, za ně ručí. Certifikační autority bohužel někdy vydávají špatné certifikáty a systém se porouchá. Ačkoli to není dokonalé, HTTPS je stále mnohem bezpečnější než HTTP.

Když posíláte citlivé informace přes připojení HTTPS, nikdo je při přenosu nemůže odposlouchávat. HTTPS je to, co umožňuje bezpečné online bankovnictví a nakupování.

Poskytuje také další soukromí pro běžné procházení webu. Například vyhledávač Google nyní nastavuje výchozí připojení HTTPS. To znamená, že lidé nemohou vidět, co hledáte na Google.com. Totéž platí pro Wikipedii a další weby. Dříve by vaše vyhledávání viděl kdokoli ve stejné síti Wi-Fi, stejně jako váš poskytovatel internetových služeb.

Proč všichni chtějí nechat HTTP za sebou

HTTPS byl původně určen pro hesla, platby a další citlivá data, ale celý web se k němu nyní přibližuje.

V USA může váš poskytovatel internetových služeb vyhledávat historii procházení webu a prodávat jej inzerentům. Pokud se web přesune na HTTPS, váš poskytovatel internetových služeb nevidí tolik těchto dat - vidí pouze to, že se připojujete ke konkrétnímu webu, na rozdíl od toho, které jednotlivé stránky si prohlížíte. To znamená mnohem více soukromí pro vaše procházení.

Ještě horší je, že HTTP umožňuje vašemu poskytovateli internetových služeb manipulovat s webovými stránkami, které navštěvujete, pokud chtějí. Mohli přidat obsah na webovou stránku, upravit stránku nebo dokonce odstranit věci. Například poskytovatelé internetu mohou touto metodou vkládat více reklam na webové stránky, které navštívíte. Comcast již vkládá varování o svém omezení šířky pásma a Verizon vložil supercookie používaný pro sledování reklam. HTTPS brání poskytovatelům internetových služeb a komukoli jinému provozujícímu síť v manipulaci s takovými webovými stránkami.

A samozřejmě není možné mluvit o šifrování na webu, aniž bychom se zmínili o Edwardu Snowdenovi. Dokumenty zveřejněné Snowdenem v roce 2013 ukázaly, že americká vláda sleduje webové stránky, které navštěvují uživatelé internetu po celém světě. To zapálilo oheň pod mnoha technologickými společnostmi, které směřovaly k vyššímu šifrování a ochraně soukromí. Přechodem na HTTPS mají vlády po celém světě těžší čas sledovat všechny vaše zvyky při procházení.

Jak prohlížeče povzbuzují webové stránky k výpisu protokolu HTTP

Kvůli této touze přejít na HTTPS vyžadují všechny nové standardy navržené pro rychlejší web šifrování HTTPS. HTTP / 2 je hlavní nová verze protokolu HTTP podporovaná ve všech hlavních webových prohlížečích. Přidává kompresi, pipeline a další funkce, díky nimž se webové stránky načítají rychleji. Všechny webové prohlížeče vyžadují, aby weby používaly šifrování HTTPS, pokud chtějí tyto užitečné nové funkce HTTP / 2. Moderní zařízení mají vyhrazený hardware pro zpracování šifrování AES, které vyžaduje také HTTP. To znamená, že HTTPS by měl být ve skutečnosti rychlejší než HTTP.

Zatímco prohlížeče dělají HTTPS atraktivní díky novým funkcím, Google dělá HTTP neatraktivní tím, že penalizuje weby za jeho používání. Google plánuje označit weby, které nepoužívají HTTPS, jako nebezpečné v prohlížeči Chrome a Google chce upřednostnit weby, které používají HTTPS, ve výsledcích vyhledávání Google. To poskytuje silnou pobídku pro weby k migraci na HTTPS.

Jak zkontrolovat, zda jste připojeni k webu pomocí protokolu HTTPS

Pokud adresa v adresním řádku vašeho webového prohlížeče začíná „//“, můžete zjistit, že jste připojeni k webu s připojením HTTPS. Zobrazí se také ikona zámku, na kterou můžete kliknout a získat další informace o zabezpečení webových stránek.

V každém prohlížeči to vypadá trochu jinak, ale většina prohlížečů má společnou ikonu // a zámek. Některé prohlížeče nyní ve výchozím nastavení skryjí „//“, takže se vedle názvu domény webu zobrazí pouze ikona zámku. Pokud však kliknete nebo klepnete do adresního řádku, zobrazí se část adresy „//“.

SOUVISEJÍCÍ: Proč může být používání veřejné Wi-Fi sítě nebezpečné, i když přistupujete k šifrovaným webům

Pokud používáte neznámou síť a připojujete se k webu své banky, ujistěte se, že vidíte HTTPS a správnou adresu webu. To vám pomůže zajistit, že jste skutečně připojeni k webu banky, i když to není spolehlivé řešení. Pokud na přihlašovací stránce nevidíte indikátor HTTPS, můžete být připojeni k webu podvodníka v napadené síti.

Dejte si pozor na phishingové triky

SOUVISEJÍCÍ: Zabezpečení online: Prolomení anatomie phishingového e-mailu

Samotný přítomnost HTTPS není zárukou legitimnosti webu. Někteří chytří phisherové si uvědomili, že lidé hledají indikátor HTTPS a ikonu zámku, a proto mohou své webové stránky maskovat. Měli byste si tedy dávat stále pozor: neklikejte na odkazy v phishingových e-mailech, jinak se můžete ocitnout na chytře maskované stránce. Podvodníci mohou také získat certifikáty pro své podvodné servery. Teoreticky jim je zabráněno vydávat se za weby, které nevlastní. Může se zobrazit adresa jako //google.com.3526347346435.com. V tomto případě používáte připojení HTTPS, ale jste skutečně připojeni k subdoméně webu s názvem 3526347346435.com - nikoli Google.

Ostatní podvodníci mohou napodobit ikonu zámku a změnit favikón svého webu, který se zobrazí v adresním řádku, na zámek, aby se vás pokusili oklamat. Při kontrole připojení k webu dávejte pozor na tyto triky.