Сигурен HTTP (HTTPS)

Кой може да види какво четем, когато сърфираме в интернет? Кой може да види какво пишем?

Стандартният HTTP позволява: недоброжелатели да прихващат пакети, интернет доставчици да следят интернет трафика, правителствени служби да подслушват оптичните кабели, които поддържат интернет. Като използват слабостите на протокола, те могат да четат съдържанието на всеки интернет сайт и дори да вмъкват свое съдържание.

Поради тази причина все повече интернет сайтове използват HTTPS (Hypertext Transfer Protocol Secure – Сигурен протокол за пренасяне на хипертекст), за да защитават поверителността на данните на потребителите си и да предотвратяват подправянето им. HTTPS е познат още и като HTTP върху TLS (HTTPS over TLS), тъй като е реализиран чрез криптиране на HTTP заявки и резултати с помощта на TLS протокола.

HTTPS връзка започва с URL в полето за адрес. Стандартните HTTP връзки имат URL-и, които започват с "http://". Сигурните HTTP връзки имат URL-и, които започват с "https://".

⬆ Погледни сега полето за адрес. Би трябвало да видиш URL, който започва с "https://www.khanacademy.org/". Ако започва с "khanacademy.org/", опитай да щракнеш два пъти върху полето за адрес, за да видиш пълния URL.

Разбира се, повечето потребители просто ще въведат домейна, например "khanacademy.org". Когато някоя интернет страница поддържа HTTPS и иска да подсигури, че всичките ѝ потребители използват сигурна връзка, тя трябва да пренасочи всички заявки към HTTPS версията си.

🔍 Опитай да въведеш няколко адреса на твои любими интернет страници в нов раздел на браузъра си и разгледай крайния URL в адресното поле, след като страницата се зареди. Пренасочи ли те някоя към HTTPS? Предпочиташ ли някоя от тях да използва HTTPS, а тя използва HTTP?

Когато браузърът зарежда URL, който започва с "https", той започва процеса на установяване на сигурна връзка през TLS. Ако имаш нужда да си припомниш процеса, прегледай нашата статия за TLS.)

В ранните етапи на този процес браузърът трябва да провери цифровия сертификат на домейна. Сертификатите могат да са невалидни по много причини и браузърите често показват грешки в сертификата.

Ето как изглежда, когато Chrome открие, че сертификатът е издаден от източник, на който не вярва:

Ако сертификатът е валиден и всичко останало по време на установяване на TLS връзката мине гладко, повечето браузъри ще покажат катинар в полето за адрес. Този катинар показва сигурна връзка през HTTPS.

Ето я иконата за катинар на Firefox:

Ако щракнеш на тази икона, ще се изведе още повече информация за сигурността на страницата:

HTTPS връзката прави така, че само браузърът и сигурният домейн виждат данните в HTTP зявките и отговорите. Наблюдателите все пак могат да видят, че определен IP адрес комуникира с друг домейн или IP и могат да видят колко време продължава тази връзка. Но тези наблюдатели не могат да видят съдържанието на комуникацията, което включва пълния URL път, HTML кода на страницата и всякакъв текст, изпратен чрез форми. В този момент някой наблюдател може да знае, че ти посещаваш khanacademy.org, но не знае, че четеш статия за HTTPS.

Освен това HTTPS предотвратява и фалшифициране на съдържанието на интернет страници. Когато дадена страница е осигурена през стандартна HTTP връзка, пакетите могат да бъдат прихванати и съдържанието им подменено. Ако нападател или държавна агенция прихване посещения в новинарска страница, те могат лесно да поднасят фалшиви новини. TLS включва механизъм за разпознаване на изменения в пакетите, така че HTTPS връзките са неподатливи на фалшифициране.

Много организации вярват, че всяка интернет страница трябва да поднася всички връзки по подразбиране през HTTPS. Дали някога ще стигнем до 100%? Може да ни помогнеш, като поискаш от любимите си интернет страници да използват HTTPS или ти самият да станеш разработчик на интернет страници, специалист по сигурността.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Имаш ли въпроси по тази тема? С радост ще ти отговорим—просто задай въпроса си по-долу!