Buroties cauri dažādajām interneta mājaslapām, reti kurš pievērš uzmanību tam, kas sastāda mājaslapas adresi. Vēl jo vairāk tam, kas tad nodrošina, ka kāds nenozog mūsu datus un neizseko katru soli. Par to paldies jāsaka HTTPS.
Kas ir HTTPS?
Tā ir abreviatūra Hypertext Transfer Protocol Secure, kas latviski tiek tulkota kā Hiperteksta Drošas Pārsūtīšanas Protokols. Tas nepieciešams, lai tiktu nodrošināta, gan privāta, gan droša datu pārsūtīšana starp lietotāju un mājaslapu.
Kā darbojas Hiperteksta Drošas Pārsūtīšanas Protokols?
HTTPS ir kā papildus drošības slānis, izmantojot šifrēšanas un autentifikācijas protokolus. Tā galvenie palīgi ir: SSL jeb Secure Sockets Layer un TSL jeb Transport Layer Security. Taču kādi procesi tad tur notiek?
1. Procesa uzsākšana
– Process sākas, kad lietotājs cenšas savienoties ar mājaslapu, ievadot “https://” tīmekļa adresi.
– Serveris atbild nosūtot SSL/TSL sertifikātu. Sertifikāts satur servera publisko atslēgu un citu informāciju.
2. Sertifikāta pārbaude:
– Lietotāja pārlūkprogramma pārbauda SSL/TSL sertifikātu. Tiek veikta digitālā paraksta un derīguma termiņa pārbaude, kā arī apstiprinājums, ka sertifikātu izdevusi uzticama iestāde.
– Pārlūkprogramma jau ietver iepriekš uzstādītu sarakstu ar uzticamām sertifikātu iestādēm (CA).
3. Atslēgu apmaiņa:
– Kad sertifikāts pārbaudīts, pārlūkprogramma un serveris piedalās procesā, ko dēvē par “handshake” jeb “rokasspiedienu”. Process ietver abu pušu piekrišanu par simetrisku šifrēšanas atslēgu, ko izmantos arī turpmākajā sesijas laikā.
– Apmaiņā izmantota publiskās atslēgas kriptogrāfija. Servera publiskā atslēga tiek izmantota, lai šifrētu simetrisko atslēgu, un nodrošina, ka tikai servera privātā atslēga to var atšifrēt.
4. Droša datu pārsūtīšana:
– Kad dalīšanās ar atslēgu ir notikusi, pārlūkprogramma un serveris var droši komunicēt, šifrējot un atšifrējot datus ar atslēgas palīdzību.
– Simetriskā atslēga ir ātrāks veids kā veikt šifrēšanas procesus lielam daudzumam datu.
5. Komunikācijas turpinājums
– Drošo sesiju uztur lietotāja mijiedarbība ar mājaslapu. Simetriskā atslēga tiek izmantota, lai šifrētu un atšifrētu datus, ar ko apmainās lietotāja pārlūkprogramma un konkrētais serveris.
6. Sesijas izbeigšana
– Kad lietotājs beidz darbību konkrētajā mājaslapā, sesija var tikt pārtraukta un simetriskā atslēga tiek iznīcināta.
Atšķirība starp HTTP un HTTPS
1. Drošība
– HTTP: Nav drošs savienojums. Dati, kas pārsūtīti starp pārlūkprogrammu un mājaslapu tiek nosūtīti vienkāršā tekstā.
– HTTPS: Tiek veidots drošs savienojums, šifrējot datus, kas nosūtīti starp pārlūkprogrammu un mājaslapu.
2. Protokols
– HTTP: Tiek izmantots standarta protokols komunikācijai starp pārlūkprogrammu un serveri.
– HTTPS: Tiek izmantots SSL/TSL protokols šifrēšanai un autentifikācijai.
3. Porti:
– HTTP: Darbojas izmantojot 80. portu.
– HTTPS: Darbojas izmantojot 443. portu.
4. URL shēma:
– HTTP: URL sākas ar “https://”
– HTTPS: URL sākas ar “https://”
5. Sertifikātu nepieciešamība:
– HTTP: Nav nepieciešams SSL/TSL sertifikāts.
– HTTPS: Obligāti nepieciešams SSL/TSL sertifikāts, ko izsniegusi CA jeb uzticama sertifikācijas iestāde.
6. Izmantošanas gadījumi:
– HTTP: Piemērots mājaslapām vai aplikācijām, kur datu privātums nav nepieciešams, piemēram, informatīvas vietnes, kas nesatur privātus lietotāja datus.
– HTTPS: Ieteicams mājaslapām, kas satur privātu informāciju, piemēram, pieslēgšanās datus, personīgas detaļas vai finansiālus darījumus.
Vai HTTPS ir pakļauts riskam?
Lai gan protokols nodrošina augstu aizsardzības līmeni, nav iespējams garantēt 100% imunitāti pret dažādiem uzbrukšanas scenārijiem. Daži no tiem ietver:
- Sertifikācijas problēmas: mājaslapas SSL/TSL sertifikātam beidzies derīguma termiņš, to nav iesniegusi uzticama sertifikācijas iestāde vai arī privātā atslēga ir apdraudēta.
- Uzbrukums lietotāja datoram: Uzbrucēji var lejupielādēt ļaundabīgu programmatūru tieši lietotāja datorā, tādējādi apdraudot protokola drošu savienojumu.
- Servera vājie posmi: Ja serveris nav saņēmis jaunākos atjauninājumus, uzbrucēji to var ātri vien apdraudēt.
- Vāji šifrēšanas algoritmi: Ja mājaslapa izmanto vājus šifrēšanas algoritmus vai īsas atslēgas sekvences, tā var tikt pakļauta atšifrēšanai.
Kā zināt, vai izmantotais HTTPS ir derīgs?
Jā, tā izmantošana ir ļoti svarīga, lai netiktu zagti dati un sensitīva informācija. Ar to, ka mājaslapas sākumā rakstīts “https://” var būt par maz, tāpēc ieteicams parakties dziļāk un pārliecināties pašam.
1. Pārbaudiet URL:
Pirms mājslapas nosaukuma jābūt “https://” .
2. Slēdzenes ikona:
Lielākā daļa pārlūkprogrammu uzrāda slēdzenes ikonu adreses ailē. Uzspiežot uz tās, var uzzināt detaļas par mājaslapas drošības statusu.
3. Izpētiet SSL/TSL sertifikātu:
Nospiežot uz slēdzenes ikonas, var apskatīt sertifikātu. Tajā būs informācija par derīguma termiņu un sertifikāta izdevēju.
4. Izmantojiet Website Security Checker:
Ir pieejami dažādi rīki un pārlūkprogrammas paplašinājumi, kas ļauj pārbaudīt mājaslapas drošības statusu.
