Ξεκινώντας με το Chrome 68, το Google Chrome ετικέτες όλους τους ιστότοπους που δεν είναι HTTPS ως "Μη ασφαλής". Τίποτα άλλο δεν έχει αλλάξει — οι ιστότοποι HTTP είναι εξίσου ασφαλείς όπως πάντα — αλλά η Google δίνει ώθηση σε ολόκληρο τον ιστό προς ασφαλείς, κρυπτογραφημένες συνδέσεις.
Στο μέλλον, η Google σκοπεύει ακόμη και να καταργήσει τη λέξη "Ασφαλής" από τη γραμμή διευθύνσεων. Όλοι οι ιστότοποι πρέπει να είναι ασφαλείς από προεπιλογή.
Πώς λειτουργούν οι "Ασφαλείς" ιστότοποι HTTPS
Όταν επισκέπτεστε έναν ιστότοπο που χρησιμοποιεί Κρυπτογράφηση HTTPS , θα δείτε το γνωστό πράσινο εικονίδιο κλειδώματος και τη λέξη "Ασφαλής" στη γραμμή διευθύνσεών σας.
Ακόμα κι αν εισαγάγετε κωδικούς πρόσβασης, παρέχετε αριθμούς πιστωτικών καρτών ή λαμβάνετε ευαίσθητα οικονομικά δεδομένα μέσω της σύνδεσης, η κρυπτογράφηση διασφαλίζει ότι κανείς δεν μπορεί να παρακολουθεί τι στέλνεται ή να αλλάζει τα πακέτα δεδομένων ενώ ταξιδεύουν μεταξύ της συσκευής σας και του διακομιστή του ιστότοπου.
Αυτό συμβαίνει επειδή ο ιστότοπος έχει ρυθμιστεί για χρήση ασφαλούς κρυπτογράφησης SSL. Το πρόγραμμα περιήγησης ιστού χρησιμοποιεί το πρωτόκολλο HTTP για σύνδεση σε παραδοσιακούς μη κρυπτογραφημένους ιστότοπους, αλλά χρησιμοποιεί HTTPS – κυριολεκτικά, HTTP με SSL– κατά τη σύνδεση σε ασφαλείς ιστότοπους. Οι κάτοχοι ιστότοπων πρέπει να ρυθμίσουν το HTTPS προτού λειτουργήσει στους ιστότοπούς τους.
Το HTTPS παρέχει επίσης προστασία από κακόβουλα άτομα που πλαστοπροσωπούν έναν ιστότοπο. Για παράδειγμα, εάν βρίσκεστε σε Balsh και Htsepa και να συνδεθείτε στο Google.com, οι διακομιστές της Google θα παρέχουν πιστοποιητικό ασφαλείας που ισχύει μόνο για το Google.com. Εάν η Google χρησιμοποιούσε απλώς μη κρυπτογραφημένο HTTP, δεν θα υπήρχε τρόπος να πείτε εάν είστε συνδεδεμένοι στο πραγματικό Google.com ή σε έναν πλαστογραφημένο ιστότοπο που σχεδιάστηκε για να σας εξαπατήσει και να κλέψει τον κωδικό πρόσβασής σας. Για παράδειγμα, ένα κακόβουλο σημείο πρόσβασης Wi-Fi θα μπορούσε να ανακατευθύνει άτομα σε αυτούς τους τύπους πλαστών ιστότοπων ενώ είναι συνδεδεμένοι στο δημόσιο Wi-Fi.
(Τεχνικά, αυτό δεν επαληθεύει ταυτότητα Πιστοποιητικά εκτεταμένης επικύρωσης (EV) . Ωστόσο, είναι καλύτερο από το τίποτα!)
Το HTTPS παρέχει επίσης άλλα πλεονεκτήματα. Με το HTTPS, κανείς δεν μπορεί να δει την πλήρη διαδρομή των ιστοσελίδων που επισκέπτεστε. Μπορούν να δουν μόνο τη διεύθυνση του ιστότοπου στον οποίο συνδέεστε. Έτσι, αν διαβάζατε για μια ιατρική πάθηση σε μια σελίδα όπως το example.com/medical_condition, ακόμη και ο πάροχος υπηρεσιών Διαδικτύου σας θα μπορούσε να δει μόνο ότι είστε συνδεδεμένοι στο example.com - όχι για ποια ιατρική κατάσταση διαβάζετε . Εάν επισκέπτεστε τη Wikipedia, ο ISP σας και οποιοσδήποτε άλλος θα μπορούσε να δει μόνο ότι διαβάζετε τη Wikipedia και όχι αυτό που διαβάζετε.
Μπορεί να περιμένετε ότι το HTTPS είναι πιο αργό από το HTTP, αλλά θα έχετε λάθος. Οι προγραμματιστές εργάζονται σε νέες τεχνολογίες όπως HTTP / 2 για να επιταχύνετε την περιήγησή σας στον ιστό, αλλά το HTTP / 2 επιτρέπεται μόνο σε συνδέσεις HTTPS. Αυτό κάνει το HTTPS πιο γρήγορο από το HTTP.
Γιατί οι ιστότοποι "δεν είναι ασφαλείς" εάν δεν είναι κρυπτογραφημένοι
Το παραδοσιακό HTTP μεγαλώνει στο δόντι. Γι 'αυτό, στο Chrome 68, θα δείτε ένα μήνυμα "Μη ασφαλές" στη γραμμή διευθύνσεων ενώ επισκέπτεστε έναν μη κρυπτογραφημένο ιστότοπο HTTP. Προηγουμένως, το Chrome έδειχνε μόνο ένα ενημερωτικό "i" σε έναν κύκλο. Εάν κάνετε κλικ στο κείμενο "Μη ασφαλές", το Chrome θα πει "Η σύνδεσή σας σε αυτόν τον ιστότοπο δεν είναι ασφαλής".
Το Chrome λέει ότι η σύνδεση δεν είναι ασφαλής, επειδή δεν υπάρχει κρυπτογράφηση για την προστασία της σύνδεσης. Όλα αποστέλλονται μέσω της σύνδεσης σε απλό κείμενο, πράγμα που σημαίνει ότι είναι ευάλωτο σε κατασκοπεία και παραβίαση Εάν πληκτρολογήσετε ιδιωτικά στοιχεία όπως κωδικό πρόσβασης ή στοιχεία πληρωμής σε έναν τέτοιο ιστότοπο, κάποιος θα μπορούσε να το καταλάβει καθώς ταξιδεύει μέσω του Διαδικτύου.
Οι χρήστες μπορούν επίσης να παρακολουθούν τα δεδομένα που σας στέλνει ο ιστότοπος. Έτσι, ακόμα κι αν περιηγείστε στον ιστό, οι υποκλοπείς μπορούν να δουν ακριβώς ποιες ιστοσελίδες κοιτάζετε. Ο πάροχος υπηρεσιών διαδικτύου θα γνωρίζει επίσης ακριβώς ποιες ιστοσελίδες κοιτάζετε και θα μπορούσε να πουλήσει αυτές τις πληροφορίες για χρήση στη στόχευση διαφημίσεων. Άλλα άτομα στο δημόσιο Wi-Fi στο καφενείο θα μπορούσαν επίσης να δουν τι βλέπουν επίσης.
Ένας μη κρυπτογραφημένος ιστότοπος είναι επίσης ευάλωτος σε παραβιάσεις. Εάν κάποιος κάθεται ανάμεσα σε εσάς και τον ιστότοπο, θα μπορούσε να τροποποιήσει τα δεδομένα που σας στέλνει ο ιστότοπος ή να τροποποιήσει τα δεδομένα που στέλνετε στον ιστότοπο, εκτελώντας μια επίθεση man-in-the-middle. Για παράδειγμα, αυτό μπορεί να συμβεί όταν χρησιμοποιείτε ένα δημόσιο σημείο πρόσβασης Wi-Fi. Ο χειριστής του hotspot θα μπορούσε να κατασκοπεύσει την περιήγησή σας και να καταγράψει προσωπικά στοιχεία ή να τροποποιήσει το περιεχόμενο της ιστοσελίδας πριν φτάσει σε εσάς. Για παράδειγμα, κάποιος θα μπορούσε να εισάγει συνδέσμους λήψης κακόβουλου λογισμικού σε μια νόμιμη σελίδα λήψης εάν η συγκεκριμένη σελίδα λήψης στάλθηκε μέσω HTTP αντί για HTTPS. Θα μπορούσαν ακόμη και να δημιουργήσουν έναν ψεύτικο ιστότοπο πλαστογράφησης που προσποιείται ότι είναι ένας νόμιμος ιστότοπος - εάν ο νόμιμος ιστότοπος δεν χρησιμοποιεί HTTPS, δεν θα υπήρχε τρόπος να παρατηρήσετε ότι είστε συνδεδεμένοι σε έναν ψεύτικο και όχι τον πραγματικό.
Γιατί η Google έκανε αυτήν την αλλαγή;
Η Google και άλλες εταιρείες ιστού, συμπεριλαμβανομένων Mozilla , διεξάγουν μια μακροπρόθεσμη καμπάνια για τη μεταφορά του ιστού από HTTP σε HTTPS. Το HTTP θεωρείται πλέον μια παλιά τεχνολογία που δεν πρέπει να χρησιμοποιούν οι ιστότοποι.
Αρχικά, μόνο μερικοί ιστότοποι χρησιμοποιούσαν HTTPS. Η τράπεζά σας και άλλοι ευαίσθητοι ιστότοποι θα χρησιμοποιούν HTTPS και θα ανακατευθυνθείτε σε μια σελίδα HTTPS ενώ συνδέεστε σε ιστότοπους με κωδικό πρόσβασης και εισάγετε τον αριθμό της πιστωτικής σας κάρτας. Αλλά αυτό ήταν.
Τότε, το HTTPS κόστισε κάποια χρήματα για την εφαρμογή των κατόχων ιστότοπων και οι ασφαλείς συνδέσεις HTTPS ήταν πιο αργές από τις συνδέσεις HTTP. Οι περισσότεροι ιστότοποι χρησιμοποίησαν μόνο HTTP, αλλά αυτό επέτρεπε την κατασκοπεία και την παραβίαση της σύνδεσης. Αυτό έκανε τα δημόσια σημεία πρόσβασης Wi-Fi να είναι επικίνδυνα για χρήση.
Για την παροχή απορρήτου, ασφάλειας και επαλήθευσης ταυτότητας, η Google και άλλοι ήθελαν να μετακινήσουν τον ιστό προς το HTTPS. Το έχουν κάνει με πολλούς τρόπους: Το HTTPS είναι τώρα ακόμη πιο γρήγορο από το HTTP χάρη στις νέες τεχνολογίες και οι κάτοχοι ιστότοπων μπορούν να λάβουν δωρεάν πιστοποιητικά SSL για να κρυπτογραφήσουν τους ιστότοπούς τους από το μη κερδοσκοπικό Ας κρυπτογραφήσουμε . Η Google προτιμά ιστότοπους που χρησιμοποιούν HTTPS και τους προωθεί στα αποτελέσματα αναζήτησης Google.
Το 75% των ιστότοπων που επισκέφτηκαν στο Chrome σε Windows χρησιμοποιούν πλέον HTTPS, σύμφωνα με το Αναφορά διαφάνειας της Google . Ήρθε η ώρα να γυρίσετε το διακόπτη και να αρχίσετε να προειδοποιείτε τους χρήστες των ιστότοπων HTTP.
Τίποτα δεν έχει αλλάξει - το HTTP εξακολουθεί να έχει τα ίδια προβλήματα που πάντα. Ωστόσο, αρκετοί ιστότοποι έχουν μετακινηθεί στο HTTPS ότι ήρθε η ώρα να προειδοποιήσουν τους χρήστες σχετικά με το HTTP και να ενθαρρύνουν τους κατόχους ιστότοπων να σταματήσουν να σέρνουν τα πόδια τους. Η μετάβαση στο HTTPS θα κάνει τον ιστό πιο γρήγορο, βελτιώνοντας παράλληλα την ασφάλεια και το απόρρητο. Επίσης, καθιστά ασφαλή τα δημόσια σημεία πρόσβασης Wi-Fi.
