Az alábbi kérdésekre kaphat egyszerű és közérthető válaszokat az alábbi cikkből.:
- Mi történik ezzel a HTTP - HTTPs dologgal?
- Mi a különbség a HTTP és a HTTPs között technikailag és miért fontos ez nekünk?
- Kétkulcsos titkosításról bővebben.
- Mi várható a későbbiekben?
- Mi a célja a Google-nak a https protokoll erőltetésével?
- Mit kell csinálni?
- Mi az az SSL tanúsítvány?
- Mihez, kinek kellhet SSL tanúsítvány?
Források.: Pcworld.hu, hwsw.hu, biztonsagiportal.hu
Júliusban érkezett a Chrome 68, ami minden HTTP-weboldalnál kiírja majd, hogy "Nem biztonságos".
A Google Chrome szeptembertől már a nem biztonságos weboldalakra történő figyelmeztetésekre fogja helyezni a hangsúlyt a címsorban.
A Google korábban is küzdött azért, hogy a web HTTPS-alapú legyen, és igyekszik elérni, hogy mindenhol átvegyék a biztonságosabb protokollt. Ennek eszköze lett a Chrome 68 is.
Összel a Google úgy határozott, hogy módosít az eddigi szemléleten. A Chrome 69-es verziójától kezdődően már nem fogja kiírni, hogy "biztonságos" a címsorban, hanem csak egy lakattal jelzi, hogy titkosított a kommunikáció a felhasználó által letöltött weboldal esetében. A Chrome 70 pedig a "Nem biztonságos" kifejezést fogja pirossal megjeleníteni a hagyományos HTTP protokollt alkalmazó webhelyek esetében. Vagyis ősztől már a védtelen weblapok lesznek a figyelem középpontjában.
A webböngészők esetében megszokhattuk, hogy amennyiben biztonságos, titkosított kommunikációt használó, HTTPS-alapú weboldal letöltésére kerül sor, akkor az alkalmazások címsorában megjelenik a biztonságra utaló zöld lakat ikon, esetenként az is, hogy "biztonságos" a weblap. A tanúsítvány típusától függően akár annak a szervezetnek a nevét is kiírják, amelyhez a weboldal tartozik. Természetesen a fentiek alól a Google Chrome sem kivétel.
Mi a különbség a HTTP és a HTTPs között technikailag és miért fontos ez nekünk?
forrás.: hwsw
Mindez azért fontos, mert a HTTP-protokoll egyszerű szöveg alapú, amelyet minden közbeeső fél (hálózati szolgáltató, vagy épp potenciális támadó) elolvashat és módosíthat. Emiatt a statikus, adatot nem kérő oldalak is veszélyessé válhatnak, például az otthoni router megfertőzésével a weboldalakba ágyazható rosszindulatú kód, amely akár fertőzött szoftver (ártatlannak látszó Flash) letöltésére is ráveheti a felhasználót - de hasonló módszerrel akár a manapság népszerű kriptobányász megoldások is igába hajthatják a gyanútlan látogató erőforrásait, mint a Coinhive. A HTTPS ezt a támadási vektort kiszűri, az oldal és a felhasználó böngészője között biztonságossá teszi a kommunikációt.
Ez persze nem jelenti azt, hogy a két végpont (a szerver vagy a kliens) megfertőzésével ne lehetne továbbra is támadást indítani, de a lépés ennek ellenére sokkal biztonságosabbá teszi a böngészést.
Hogy a HTTP gyengeségeit milyen egyszerű kihasználni, az azok demonstárcióját célzó eszközök terjedése is jól mutatja, ilyen például a WiFi Pineapple, amely kifejezetten a titkosítatlan adatforgalom kockázatait hivatott illusztrálni. A minimális technológiai affinitással rendelkezők számára is egyszerűen használható Wi-Fi auditplatformmal begyűjthető a hálózat titkosítatlan adatforgalmának tartalma - az eszköz ráadásul online bárki számára megvásárolható.
A https alapja a kétkulcsos titkosítás. A kulcspár két összetartozó, nagyon nagy (több száz jegyű) szám. A titkosítandó szöveget az egyik szám segítségével, egy nyilvános eljárással rejtjelezzük. Az így kapott üzenet ugyanazzal az eljárással, de a kulcspár másik tagjának segítségével fejthető csak vissza.
Ha a kulcspár egyik tagját titokban tartjuk, a másik kulcsot nyilvánosságra hozzuk, és valaki egy üzenetet a nyilvános kulcsunkkal rejtjelez, akkor azt csak mi fogjuk tudni elolvasni. A titkosítás mindig a nyilvános kulccsal történik.
A nyilvános kulccsal visszafejthetők lesznek azok az üzenetek, amelyeket mi rejtjeleztünk. A visszafejthetőség igazolja, hogy a titkos üzenetet mi írtuk (hiszen a titkosító kulcsot csak mi ismerjük), ezért ezt az eljárást digitális aláírásnak nevezzük. A digitális aláírás tehát mindig titkos kulccsal történő rejtjelezést jelent.
Mi várható a későbbiekben?
A júliusban érkező verzióval a Google böngészője már minden olyan oldalt megjelöl, ami nem HTTPS-kapcsolaton működik. Ez azt jelenti, hogy minden egyes HTTP-weboldalnál megjelenít majd egy figyelmeztetést, konkrétan azt, hogy "Nem biztonságos".
A Google azt reméli, hogy a plecsnit látva a felhasználók mérlegelik majd a böngészési szokásaikat, és a jövőben inkább HTTPS-kapcsolatot használó honlapokra térnek át. Ez persze az oldalak tulajdonosait is arra ösztönzi majd, hogy fejlesszék a biztonságot.
Politika vagy technológia?
A technológia használatára egyébként kormányzati oldalról is egyre több helyen bátorítanak, az Egyesült Királyság online biztonsági központja például blogposztban is biztatja rá az üzemeltetőket.
Fontosabb érdekességek:
A Google elárult néhány érdekességet is a HTTPS elterjedtségéről. Az óriás szerint a Chrome-ban mért forgalom 68 százaléka már védett (Androidon és Windowson), illetve macOS és Chrome OS alatt ez az arány több mint 78 százalék. A top 100 weboldalból 81 már alapból HTTPS-t használ.
Mi a célja a Google-nak a https protokoll erőltetésével?
"Azt reméljük, hogy e változások tovább segítik az alapértelmezetten biztonságos és könnyen kezelhető Web felé vezető utón való előrehaladást. A HTTPS olcsóbban és könnyebben megvalósítható mint korábban, így nem érdemes halogatni a protokollra való migrációt" - nyilatkozta Emily Schechter, a Chrome Security termékmenedzsere.
SSL -ről és a HTTPs -ről a wikipedia is nagyon szépeket ír itt.:
Mit kell csinálni, hogy rendben legyünk?
SSL-t kell vásárolni ami egy biztonsági bigyusz, amivel megkapjuk a https kezdetű linkünket.
Mi az az SSL tanúsítvány?
forrás: ezit.hu - Azért is linkelem ide őket, mert nagyon szépen leírták! Vegyetek tőlük ssl-t! :)
Az SSL tanúsítvány a felhasználó és a webszerver között titkosítással és hitelesítéssel teszi biztonságossá a kommunikációt. A legtöbb böngészőben tanúsítványtól függően egy kis lakat, zöld címsor, https-sel kezdődő webcím jelzi az érvényes SSL meglétét, 2017-ben a Chrome böngésző az 56-os verziójától kezdve már figyelmeztet is ha nem titkosított honlapon járunk. A Google pedig a találati listán is hátrébb sorolhatja a hitelesítés nélküli weboldalakat.
Az SSL tanúsítvánnyal védett honlap, webáruház biztonságos, nem lehallgathatók a bizalmas adatok, jelszavak, bankkártyaszámok.
Az SSL tanúsítványoknak van érvényességi ideje, melyet annak lejárata előtt érdemes megújítani. Amint a tanúsítvány lejár, a honlap védelme megszűnik, és erről a felhasználót a böngészők is figyelmeztetik, ezért érdemes nem az utolsó pillanatra hagyni a megújítást.
Mihez, kinek kellhet SSL tanúsítvány?
El tudja képzelni, hogy minden banki azonosítóját és jelszavát bárkinek odaadja az utcán? Ugye, hogy nem! Az interneten egy nem SSL-lel titkosított honlapon keresztül ugyanezt teszi.
SSL tanúsítvány minden olyan honlaphoz erősen ajánlott, amely személyes adatokat kér be és dolgoz fel. Nem csak egy, önmagában a bizalom nevelésére szolgáló marketing eszköz, bár tény, hogy növeli a bizalmat. Valódi, biztonságos védelme a honlap és a szerver által küldött és fogadott adatoknak.
Gratulálunk ha megoldottad, most már biztonságos szolgáltató vagy elvileg a Google szerint! :)
