HTTPS-is on palju enamat kui tabalukk URL-i kõrval.
Interneti laialdase kasutamisega on isikuandmete ja tundlike andmete kaitse muutunud suureks probleemiks. HTTPS (Hypertext Transfer Protocol Secure) on eriti oluline protokollina, mis tagab suhtluse turvalisuse Internetis. Siin on HTTPS-i turvameetmed ja eelised, mida see Interneti-kasutajatele pakub.
HTTPS ja kihiline turvalisus
HTTPS ei ole lihtne struktuur, mis koosneb ühest tükist. HTTPS on nagu süsteem ja HTTPS-i moodustavad erinevad osad. Selleks, et rohkem kui ühe osa loodud süsteem teatud järjekorras toimiks, peavad ka selle süsteemi moodustavad osad olema turvalised.
Tänapäeva maailmas on suhtlus keskpunkt, kus turvalisust kõige rohkem vajatakse. Selle maailma alus on üles ehitatud TCP/IP-protokollile. Kui aga rääkida turvalisusest, siis TCP/IP protokollide komplekt on hakanud alla jääma.
Kuigi neid puudujääke on püütud kõrvaldada uute protokollidega, on endiselt põhiprobleem, mis võib mõjutada kogu süsteemi. Näiteks selleks, et pidada HTTPS-i kaudu töötavat rakendust turvaliseks, on oluline omada head süsteemi sisaldavate kihtide mõistmine ja nendes esinevate turvaaukude hindamine kihid.
HTTPS-ühenduse loomiseks tuleb mängu neli lisaprotokolli. Need on SSL/TLS, TCP, IP ja ARP kihid. Praegu võite ignoreerida nende toimimist. Peate keskenduma sellele, et olenemata sellest, kui turvaline HTTPS on, mõjutab teiste protokollide haavatavus HTTPS-i. Kas HTTPS on sel juhul ebaturvaline?
Kas HTTPS on tegelikult turvaline?
Pangad, veebipoodide saidid ja erinevad asutused kasutavad tavaliselt 128-bitiseid krüptimismeetodeid. Kuigi 128-bitine krüptimine on tänapäeva standardite järgi usaldusväärne, ei piisa sellest meetodist üksi. Lisaks krüpteerimisele peavad turvalised olema ka muud infrastruktuurid.
Esimene ja kõige olulisem SSL-i rünnak, millega silmitsi seisab, on Man-in-the-Middle rünnakud. MITM-tüüpi rünnakutes asetab ründaja end ohvrikliendi ja serveri vahele, eesmärgiga kuulata liiklust ja sellega manipuleerida.
Ründaja sekkub MITM-iga HTTP-ühendustesse genereerib võltsitud sertifikaadi, mis tekitab kasutaja brauseris tõrke, kuna sertifikaat ei ole allkirjastatud kehtiva CA poolt. Varem oli võimalik brauseri hoiatustest lihtsalt mööda minna. Kuid tänapäeval on brauserite antud SSL-i ühildumatuse hoiatused tõesti hirmutavad.
Selle kõige ilmsemaks näiteks on kaasaegsete brauserite hoiatused, et sait, kuhu soovite sisse logida, võib olla SSL-i sertifikaadi ühildumatuse tõttu ebaturvaline. Need hoiatused põhjustavad sageli saidile sisseloginud teadlikke kasutajaid saidilt lahkumise.
Kas on muid turvaauke, mis võivad muuta HTTPS-i kasutaja jaoks ebaturvaliseks?
SSL-i ja HTTP vaheline seos
Valdav enamus veebisaite kasutage turvalisuse huvides SSL-i (HTTPS).. Kuid tänapäeval kasutavad enamik SSL-iga süsteeme HTTP ja HTTPS-i koos. Veebilehele pääsete esmalt HTTP kaudu. Pärast seda töötab HTTPS linkidel, mis sisaldavad tundlikku teavet.
Ettevõtted ei kasuta ainult HTTPS-i. Selle põhjuseks on asjaolu, et SSL nõuab serveri poolelt lisavõimsust. Lisaks, kui eeldate, et seansi teave kantakse enamasti üle HTTP küpsiste ja kui serveripoolsed arendajad ei lisanud küpsiste turvaline funktsioon, keegi, kes saab liiklust kuulata, pääseb küpsiste kaudu teie nimel süsteemidele juurde, ilma et oleks vaja kontot teavet.
Küpsiste turvaline funktsioon aitab edastada küpsiseid ainult turvalise ühenduse kaudu. Seetõttu on see probleem, millele peaksid tähelepanu pöörama eriti need, kes arendavad serveri poolelt.
Kuidas teid kaitsta?
Veebisaidi sisestamisel kontrollige kindlasti URL-i. Ei piisa sellest, kui näete, et sisestatud URL algab HTTPS-iga. Samal ajal saab igaüks kirjutada oma SSL-sertifikaadi. Samuti peaksite kontrollima veebisaidi kasutatavat SSL-sertifikaati. Sertifikaadi kohta lisateabe saamiseks viige kursor aadressiribal lukuikoonile ja klõpsake sellel.
Samuti olge alati skeptiline, kui annate veebisaitidele oma isiku- ja pangaandmeid. Keegi ei taha silmitsi seista pöördumatute tulemustega. Hoidke oma uusim tarkvara kindlasti ajakohasena ja jätkake alati küberturvalisuse alase teadlikkuse koolitamist.