Alkaen Chrome 68: sta, Google Chromesta tarrat kaikki muut kuin HTTPS-sivustot "Ei suojattuina" Mikään muu ei ole muuttunut - HTTP-verkkosivustot ovat yhtä turvallisia kuin aina - mutta Google antaa koko verkolle suojatun, salatun yhteyden.
Tulevaisuudessa Google aikoo jopa poistaa sanan "Suojattu" osoiteriviltä. Kaikkien verkkosivustojen pitäisi olla oletuksena suojattuja.
Kuinka "suojatut" HTTPS-verkkosivustot toimivat
Kun vierailet verkkosivustolla, joka käyttää HTTPS-salaus , näet tutun vihreän lukkokuvakkeen ja sanan "Suojattu" osoiterivilläsi.
Vaikka annat salasanoja, annat luottokorttinumeroita tai vastaanotat arkaluonteisia taloudellisia tietoja yhteyden kautta, salaus varmistaa, ettei kukaan voi kuunnella lähetettävää tai muuttaa datapaketteja matkustaessaan laitteen ja verkkosivuston palvelimen välillä.
Tämä johtuu siitä, että verkkosivusto on määritetty käyttämään suojattua SSL-salausta. Verkkoselaimesi käyttää HTTP-protokollaa muodostaakseen yhteyden perinteisiin salaamattomiin verkkosivustoihin, mutta käyttää HTTPS-kirjaimellisesti HTTP: tä SSL: n kanssa muodostaessaan yhteyden suojattuihin verkkosivustoihin. Verkkosivustojen omistajien on määritettävä HTTPS ennen kuin se toimii heidän verkkosivustoillaan.
HTTPS tarjoaa myös suojan haitallisilta ihmisiltä, jotka esiintyvät verkkosivustona. Esimerkiksi, jos olet Balsh ja Htsepa ja muodosta yhteys Google.com-sivustoon, Googlen palvelimet tarjoavat suojaustodistuksen, joka on voimassa vain Google.com-sivustolle. Jos Google käyttäisi vain salaamatonta HTTP: tä, ei olisi mitään tapaa kertoa, olitko yhteydessä todelliseen Google.com-sivustoon vai huijaussivustoon, joka on suunniteltu huijaamaan sinua ja varastamaan salasanasi. Esimerkiksi haitallinen Wi-Fi-hotspot voisi ohjata ihmisiä tämän tyyppisiin huijaussivustoihin, kun he ovat yhteydessä julkiseen Wi-Fi-verkkoon.
(Teknisesti tämä ei vahvista identiteettiä yhtä hyvin kuin Laajennetun validoinnin (EV) sertifikaatit . Se on kuitenkin parempi kuin ei mitään!)
HTTPS tarjoaa myös muita etuja. HTTPS: n avulla kukaan ei näe vierailemiesi verkkosivujen täydellistä polkua. He voivat nähdä vain sen verkkosivuston osoitteen, johon olet yhteydessä. Joten jos luet sairaudesta sivulta example.com/medical_condition, jopa Internet-palveluntarjoajasi näkee vain, että olet yhteydessä osoitteeseen example.com - ei siitä, mistä sairaudesta olet lukemassa . Jos vierailet Wikipediassa, Internet-palveluntarjoajasi ja kuka tahansa muu näkisivät vain, että luet Wikipediaa, et mitä sinä luet.
Voit olettaa, että HTTPS on hitaampi kuin HTTP, mutta olisit väärässä. Kehittäjät ovat työskennelleet uuden tekniikan, kuten HTTP / 2 nopeuttaa selaamista, mutta HTTP / 2 on sallittu vain HTTPS-yhteyksissä. Tämä tekee HTTPS: stä nopeamman kuin HTTP.
Miksi verkkosivustot eivät ole "suojaamattomia", jos niitä ei ole salattu?
Perinteinen HTTP on tulossa pitkäksi ajaksi hampaan. Siksi Chrome 68: ssa näet "Ei suojattu" -viestin osoiterivillä, kun vierailet salaamattomalla HTTP-sivustolla. Aikaisemmin Chrome näytti vain informaation "i" ympyrässä. Jos napsautat Ei suojattu -tekstiä, Chrome sanoo "Yhteytesi tähän sivustoon ei ole turvallinen".
Chrome sanoo, että yhteys ei ole turvallinen, koska yhteyttä ei ole suojattu salauksella. Kaikki lähetetään yhteyden kautta pelkkänä tekstinä, mikä tarkoittaa, että se on haavoittuva ja muutettu. Jos kirjoitat yksityisiä tietoja, kuten salasana tai maksutiedot, tällaiseen verkkosivustoon, joku voi törmätä niihin, kun se kulkee Internetin kautta.
Ihmiset voivat myös katsella tietoja, joita verkkosivusto lähettää sinulle. Joten vaikka selaat vain Internetiä, salakuuntelijat näkevät tarkalleen mitä verkkosivuja katselet. Internet-palveluntarjoajasi tietäisi myös tarkalleen mitä verkkosivuja katselet, ja voisi myydä kyseisiä tietoja mainoksiin kohdistamiseen. Muut kahvilan julkisella Wi-Fi-yhteydellä olevat ihmiset näkevät myös mitä katsot.
Salamaton verkkosivusto on myös alttiina peukaloinnille. Jos joku istuu sinun ja verkkosivuston välissä, hän voi muokata tietoja, joita verkkosivusto lähettää sinulle, tai muokata verkkosivustollesi lähettämiäsi tietoja suorittaen välimies-hyökkäyksen. Tämä voi tapahtua esimerkiksi silloin, kun käytät julkista Wi-Fi-hotspotia. Hotspot-operaattori voi vakoilla selaamista ja siepata henkilökohtaisia tietoja tai muokata verkkosivun sisältöä ennen kuin se saapuu sinuun. Esimerkiksi joku voi lisätä haittaohjelmien latauslinkkejä lailliseen lataussivuun, jos lataussivu lähetettiin HTTP: n kautta HTTPS: n sijaan. He voivat jopa luoda väärennetyn huijaussivuston, joka teeskentelee olevansa laillista verkkosivustoa - jos laillinen sivusto ei käytä HTTPS: ää, ei ole mitään tapaa huomata, että olet yhteydessä väärennettyyn eikä oikeaan.
Miksi Google teki tämän muutoksen?
Google ja muut verkko-yritykset, mukaan lukien Mozilla , ovat käyneet pitkän aikavälin kampanjaa siirtääkseen verkon HTTP: stä HTTPS: ään. HTTP: tä pidetään nyt vanhentuneena tekniikkana, jota verkkosivustojen ei pitäisi käyttää.
Alun perin vain harvat sivustot käyttivät HTTPS: ää. Pankkisi ja muut arkaluontoiset verkkosivustosi käyttävät HTTPS: ää, ja sinut ohjataan HTTPS-sivulle, kun kirjaudut verkkosivustoille salasanalla ja annat luottokorttisi numeron. Mutta siinä se oli.
Silloin HTTPS maksaa jonkin verran rahaa verkkosivustojen omistajille, ja turvalliset HTTPS-yhteydet olivat hitaampia kuin HTTP-yhteydet. Useimmat verkkosivustot käyttivät vain HTTP: tä, mutta se mahdollisti yhteyden nuhtelemisen ja muokkaamisen. Tämä teki julkisista Wi-Fi-yhteyspisteistä riskialttiiksi käyttää.
Yksityisyyden, turvallisuuden ja henkilöllisyyden varmistamiseksi Google ja muut halusivat siirtää verkon kohti HTTPS: ää. He ovat tehneet niin monin tavoin: HTTPS on nyt jopa nopeampi kuin HTTP uusien tekniikoiden ansiosta, ja verkkosivustojen omistajat voivat saada ilmaisia SSL-varmenteita salaamaan verkkosivustonsa voittoa tavoittelemattomilta Salataan . Google pitää parempana verkkosivustoja, jotka käyttävät HTTPS: ää, ja mainostaa niitä Google-hakutuloksissa.
75% verkkosivustoista, joissa vieraili Chromessa Windowsissa, käyttää nyt HTTPS: ää Google’s transparency report . Nyt on aika kääntää kytkin ja alkaa varoittaa HTTP-verkkosivustojen käyttäjiä.
Mikään ei ole muuttunut - HTTP: llä on edelleen samat ongelmat kuin aina. Mutta tarpeeksi verkkosivustoja on siirtynyt HTTPS: ään, että on aika varoittaa käyttäjiä HTTP: stä ja kannustaa verkkosivustojen omistajia lopettamaan jalkansa vetäminen. Siirtyminen HTTPS: ään tekee verkosta nopeampaa ja parantaa samalla turvallisuutta ja yksityisyyttä. Se tekee myös julkisista Wi-Fi-yhteyspisteistä turvallisempia.
