Τι είναι το HTTPS και γιατί πρέπει να μου ενδιαφέρει;
HTTPS, το εικονίδιο κλειδώματος στη γραμμή διευθύνσεων, μια κρυπτογραφημένη σύνδεση ιστότοπου-είναι γνωστή ως πολλά πράγματα. Παρόλο που είχε δεσμευτεί για πρώτη φορά κυρίως για κωδικούς πρόσβασης και άλλα ευαίσθητα δεδομένα, ολόκληρος ο ιστός αφήνει σταδιακά το HTTP πίσω και αλλάζει σε HTTPS.
Το "S" στο HTTPS σημαίνει "Ασφαλής". Είναι η ασφαλής έκδοση του τυπικού "πρωτοκόλλου μεταφοράς υπερκειμένου" που χρησιμοποιεί το πρόγραμμα περιήγησης ιστού όταν επικοινωνεί με ιστοσελίδες.
Πώς HTTP σας θέτει σε κίνδυνο
Όταν συνδέεστε σε έναν ιστότοπο με κανονική διεύθυνση HTTP, το πρόγραμμα περιήγησης αναζητά τη διεύθυνση IP που αντιστοιχεί στον ιστότοπο, συνδέεται με τη συγκεκριμένη διεύθυνση IP και υποθέτει ότι είναι συνδεδεμένη με τον σωστό διακομιστή ιστού. Τα δεδομένα αποστέλλονται μέσω της σύνδεσης με καθαρό κείμενο. Σε ένα δίκτυο Wi-Fi, στον παροχέα υπηρεσιών διαδικτύου ή σε κυβερνητικές υπηρεσίες πληροφοριών όπως ο NSA μπορείτε να δείτε τις ιστοσελίδες που επισκέπτεστε και τα δεδομένα που μεταφέρετε μπροστά και πίσω.
Υπάρχουν μεγάλα προβλήματα με αυτό. Για ένα πράγμα, δεν υπάρχει τρόπος να επαληθεύσετε ότι είστε συνδεδεμένοι με τον σωστό ιστότοπο. Ισως εσύ νομίζω μπείτε στον ιστότοπο της τράπεζάς σας, αλλά βρίσκεστε σε ένα συμβιβασμένο δίκτυο που σας ανακατευθύνει σε έναν ιστότοπο απατεώνων. Οι κωδικοί πρόσβασης και οι αριθμοί των πιστωτικών καρτών δεν πρέπει ποτέ να αποστέλλονται μέσω σύνδεσης HTTP ή ένας ηλεκτρονικός υπολογιστής θα μπορούσε να τους κλέψει εύκολα.
Αυτά τα ζητήματα παρουσιάζονται επειδή οι συνδέσεις HTTP δεν είναι κρυπτογραφημένες. Οι συνδέσεις HTTPS είναι.
Πώς η κρυπτογράφηση HTTPS σας προστατεύει
Το HTTPS είναι πολύ πιο ασφαλές από το HTTP. Όταν συνδέεστε σε ασφαλείς ιστότοπους με ασφάλεια για το διακομιστή HTTPS, όπως η αυτόματη ανακατεύθυνσή σας στο HTTPS, το πρόγραμμα περιήγησης ιστού ελέγχει το πιστοποιητικό ασφαλείας του ιστότοπου και επιβεβαιώνει ότι εκδόθηκε από μια νόμιμη αρχή έκδοσης πιστοποιητικών. Με αυτόν τον τρόπο μπορείτε να διασφαλίσετε ότι αν δείτε τη διεύθυνση "https://bank.com" στη γραμμή διευθύνσεων του προγράμματος περιήγησης του ιστού σας, είστε πραγματικά συνδεδεμένοι με τον πραγματικό ιστότοπο της τράπεζάς σας. Η εταιρεία που εξέδωσε το πιστοποιητικό ασφαλείας εγγυάται γι 'αυτούς. Δυστυχώς, οι αρχές πιστοποιητικών εκδίδουν μερικές φορές κακά πιστοποιητικά και το σύστημα σπάει. Παρόλο που δεν είναι τέλειο, το HTTPS εξακολουθεί να είναι πολύ πιο ασφαλές από το HTTP.
Όταν στέλνετε ευαίσθητες πληροφορίες μέσω σύνδεσης HTTPS, κανείς δεν μπορεί να το παρακολουθήσει σε διαμετακόμιση. Το HTTPS είναι αυτό που καθιστά δυνατή την ασφαλή online τραπεζική και αγορών.
Παρέχει επίσης πρόσθετο απόρρητο για κανονική περιήγηση στο web, επίσης. Για παράδειγμα, η μηχανή αναζήτησης της Google έχει προεπιλεγεί για συνδέσεις HTTPS. Αυτό σημαίνει ότι οι χρήστες δεν μπορούν να δουν τι ψάχνετε στο Google.com. Το ίδιο ισχύει για τη Wikipedia και άλλους ιστότοπους. Προηγουμένως, οποιοσδήποτε στο ίδιο δίκτυο Wi-Fi θα μπορούσε να δει τις αναζητήσεις σας, όπως και ο πάροχος υπηρεσιών Διαδικτύου.
Γιατί όλοι θέλουν να εγκαταλείψουν το HTTP Behind
Το HTTPS προοριζόταν αρχικά για κωδικούς πρόσβασης, πληρωμές και άλλα ευαίσθητα δεδομένα, αλλά ολόκληρος ο ιστός κινείται προς το παρόν.
Στις ΗΠΑ, ο πάροχος υπηρεσιών Διαδικτύου σας επιτρέπει να παρακολουθείτε το ιστορικό περιήγησης ιστού και να το πουλάτε στους διαφημιζόμενους. Αν ο ιστός μετακινηθεί σε HTTPS, ο πάροχος υπηρεσιών Διαδικτύου δεν μπορεί να δει όσο το δυνατόν περισσότερα από αυτά τα δεδομένα - βλέπουν μόνο ότι συνδέεστε με έναν συγκεκριμένο ιστότοπο, σε αντίθεση με τις μεμονωμένες σελίδες που βλέπετε. Αυτό σημαίνει πολύ περισσότερη προστασία προσωπικών δεδομένων για την περιήγησή σας.
Ακόμη χειρότερα, το HTTP επιτρέπει στον πάροχο υπηρεσιών Internet να παραβιάζει τις ιστοσελίδες που επισκέπτεστε, αν θέλουν. Θα μπορούσαν να προσθέσουν περιεχόμενο στην ιστοσελίδα, να τροποποιήσουν τη σελίδα ή ακόμα και να αφαιρέσουν τα πράγματα. Για παράδειγμα, οι πάροχοι υπηρεσιών Ίντερνετ θα μπορούσαν να χρησιμοποιήσουν αυτή τη μέθοδο για να εισάγουν περισσότερες διαφημίσεις σε ιστοσελίδες που επισκέπτεστε. Η Comcast ήδη εισάγει προειδοποιήσεις σχετικά με το καπάκι του εύρους ζώνης, και η Verizon έχει εγχύσει ένα supercookie που χρησιμοποιείται για την παρακολούθηση διαφημίσεων. Το HTTPS αποτρέπει τους ISP και οποιονδήποτε άλλον εκτελεί ένα δίκτυο από παραβίαση τέτοιων ιστοσελίδων.
Και, φυσικά, είναι αδύνατο να μιλήσουμε για την κρυπτογράφηση στον ιστό χωρίς να αναφέρουμε τον Edward Snowden. Τα έγγραφα που διέρρευσε το Snowden το 2013 έδειξαν ότι η κυβέρνηση των ΗΠΑ παρακολουθεί τις ιστοσελίδες που επισκέπτονται χρήστες του Διαδικτύου σε όλο τον κόσμο. Αυτό σήμανε πυρκαγιά κάτω από πολλές εταιρείες τεχνολογίας για να προχωρήσουμε σε αυξημένη κρυπτογράφηση και ιδιωτικότητα. Μεταβαίνοντας στο HTTPS, οι κυβερνήσεις σε όλο τον κόσμο έχουν έναν σκληρότερο χρόνο να βλέπουν όλες τις συνήθειες περιήγησής σας.
Πώς οι περιηγητές ενθαρρύνουν τους ιστότοπους να απορρίπτουν το HTTP
Λόγω αυτής της επιθυμίας για μετάβαση στο HTTPS, όλα τα νέα πρότυπα που έχουν σχεδιαστεί για να κάνουν τον ιστό γρηγορότερα απαιτούν κρυπτογράφηση HTTPS. Το HTTP / 2 είναι μια σημαντική νέα έκδοση του πρωτοκόλλου HTTP που υποστηρίζεται σε όλα τα μεγάλα προγράμματα περιήγησης ιστού. Προσθέτει συμπίεση, σωληνώσεις και άλλα χαρακτηριστικά που συμβάλλουν στην ταχύτερη φόρτωση ιστοσελίδων. Όλα τα προγράμματα περιήγησης ιστού απαιτούν από τους ιστότοπους να χρησιμοποιούν κρυπτογράφηση HTTPS αν θέλουν αυτές τις χρήσιμες νέες λειτουργίες HTTP / 2. Οι σύγχρονες συσκευές διαθέτουν αποκλειστικό υλικό για τη διεκπεραίωση της κρυπτογράφησης AES που απαιτεί και το HTTP. Αυτό σημαίνει ότι το HTTPS θα πρέπει να είναι πραγματικά ταχύτερο από το HTTP.
Ενώ τα προγράμματα περιήγησης κάνουν το HTTPS ελκυστικό με νέες λειτουργίες, η Google καθιστά το HTTP μη ελκυστικό επιβάλλοντας κυρώσεις σε ιστότοπους για τη χρήση του. Η Google σχεδιάζει να επισημαίνει ιστότοπους που δεν χρησιμοποιούν το HTTPS ως ασφαλές στο Chrome και η Google θέλει να δώσει προτεραιότητα σε ιστότοπους που χρησιμοποιούν HTTPS στα αποτελέσματα αναζήτησης Google. Αυτό παρέχει ένα ισχυρό κίνητρο για τους ιστοτόπους να μεταναστεύσουν στο HTTPS.
Πώς να ελέγξετε εάν είστε συνδεδεμένοι σε μια ιστοσελίδα χρησιμοποιώντας το HTTPS
Μπορείτε να πείτε ότι είστε συνδεδεμένοι σε έναν ιστότοπο με σύνδεση HTTPS, αν η διεύθυνση στη γραμμή διευθύνσεων του προγράμματος περιήγησης ιστού σας ξεκινά με "https: //". Θα δείτε επίσης ένα εικονίδιο κλειδώματος, το οποίο μπορείτε να κάνετε κλικ για περισσότερες πληροφορίες σχετικά με την ασφάλεια του ιστότοπου.
Αυτό φαίνεται λίγο διαφορετικό σε κάθε πρόγραμμα περιήγησης, αλλά τα περισσότερα προγράμματα περιήγησης έχουν κοινά το https: // και το εικονίδιο κλειδώματος. Ορισμένα προγράμματα περιήγησης τώρα αποκρύπτουν το "https: //" από προεπιλογή, επομένως θα δείτε μόνο ένα εικονίδιο κλειδώματος δίπλα στο όνομα τομέα του ιστότοπου. Ωστόσο, αν κάνετε κλικ ή πατήσετε μέσα στη γραμμή διευθύνσεων, θα δείτε το τμήμα "https: //" της διεύθυνσης.
Εάν χρησιμοποιείτε ένα άγνωστο δίκτυο και συνδέεστε στον ιστότοπο της τράπεζάς σας, βεβαιωθείτε ότι βλέπετε το HTTPS και τη σωστή διεύθυνση ιστότοπου. Αυτό σας βοηθά να βεβαιωθείτε ότι είστε πραγματικά συνδεδεμένοι με την ιστοσελίδα της τράπεζας, αν και δεν είναι μια ξεκάθαρη λύση. Εάν δεν εμφανίζεται δείκτης HTTPS στη σελίδα σύνδεσης, ίσως να είστε συνδεδεμένοι σε έναν ιστότοπο απατεώνων σε ένα συμβιβαζόμενο δίκτυο.
Προσέξτε για τεχνάσματα ψευδώνυμο
Η παρουσία του ίδιου του HTTPS δεν αποτελεί εγγύηση ότι ένας ιστότοπος είναι νόμιμος. Κάποιοι έξυπνοι phishers συνειδητοποίησαν ότι οι άνθρωποι ψάχνουν για τον δείκτη HTTPS και το εικονίδιο κλειδώματος και μπορεί να βγουν από το δρόμο τους για να συγκαλύψουν τους ιστοτόπους τους. Επομένως, θα πρέπει να είστε επιφυλακτικοί: μην κάνετε κλικ σε συνδέσμους σε ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) ή μπορείτε να βρείτε τον εαυτό σας σε μια έξυπνα συγκεκαλυμμένη σελίδα. Οι απατεώνες μπορούν επίσης να λάβουν πιστοποιητικά για τους διακομιστές απάτης τους. Θεωρητικά, αποτρέπονται μόνο από την πλαστοπροσωπία ιστότοπων που δεν ανήκουν. Ενδέχεται να δείτε μια διεύθυνση όπως https://google.com.3526347346435.com. Σε αυτήν την περίπτωση, χρησιμοποιείτε μια σύνδεση HTTPS, αλλά είστε πραγματικά συνδεδεμένοι με έναν υποτομέα ενός ιστότοπου που ονομάζεται 3526347346435.com - όχι Google.
Άλλοι απατεώνες μπορεί να μιμούνται το εικονίδιο κλειδαριάς, αλλάζοντας το favicon του ιστότοπου που εμφανίζεται στη γραμμή διευθύνσεων σε μια κλειδαριά για να προσπαθήσει να σας εξαπατήσει. Παρακολουθήστε αυτά τα κόλπα κατά τον έλεγχο της σύνδεσής σας με έναν ιστότοπο.