Проблемы безопасности распространились повсюду и достигли пика внимания именно потому, что касаются всех.
Такие термины, как антивирусы и брандмауэры больше не является странным словарным запасом и их не только поняли, но также массово используют. Большинство людей понимают, что конфиденциальная информация, такая как номера кредитных карт или данные адресов, должны быть переданы с использованием безопасного соединения.
С появлением социальных сетей, однако, все больше и больше частной информации передается через веб-сайты без никакого уровня защиты. Хотя вполне можно усилить свою приватность, сделав профиль частным, но Ваши данные все еще будут передаваться в незашифрованном виде и, таким образом, могут быть легко перехвачены. Твиттер и Facebook отреагировала в начале этого года и предложили дополнительно защищенное соединение, то есть HTTPS. В этой статье автор объяснит, как работает HTTPS и как Вы можете включить его на любом сайте, который его поддерживает.
Что означает HTTPS?
HTTPS означает HyperText Transfer Protocol Secure. Чтобы разобраться в этом загадочном названии, давайте разобьем ее на составные части.
HyperText описывает содержимое веб-сайта, который не требует скрипты или плагины, то есть текст, таблицы и изображения. Слово также находится в акронимах HTML, что означает язык разметки гипертекста.
HTTP является сетевым протоколом, который выполняет передачу данных между клиентами, например, браузером и сервером, которым обычно является компьютер хостинга веб-сайта.
Безопасные соединения представляют собой комбинацию из двух протоколов: HTTP и SSL/TLS. Последние являются криптографическими протоколами, которые шифруют соединение сети. Сокращение переводятся как протоколы Secure Sockets Layer и Transport Layer Security. Кроме просмотра веб-страниц, эти протоколы используются для шифрования передачи данных в сообщениях электронной почты, онлайн-факсов, мгновенных сообщений и голоса поверх IP.
Взятые вместе протоколы образуют HTTPS, который означает, что передача "обычного текста" веб-сайта зашифрована для повышения безопасности.
Как Вы можете всегда включать HTTPS?
HTTPS не то, что Вы можете просто взять и включить. Это услуга, предоставляемая веб-сайтами и может быть включена только тогда, когда она предлагается. Тем не менее, появляется все больше и больше сайтов, предоставляющих эту услугу. К сожалению, большинство не предлагают соединение HTTPS по умолчанию, а вручную переключаться с HTTP на HTTPS неудобно и, следовательно, легко пренебречь этим.
Если Вы хотите перестраховаться и всегда использовать HTTPS, когда это возможно, рекомендуется использовать расширение Firefox, которое называется . HTTPS Everywhere - результат сотрудничества между Tor Project и Electronic Frontier Foundation,. Недавно была выпущена версия 1.0 и расширение официально вышло из стадии бета-тестирования. Теперь в нем содержится список сотни сайтов, которые поддерживают протокол HTTPS.
Если Вы найдете сайт, который отсутствует в списке, но поддерживает услугу, то Вы можете создать собственное правило и добавить его вручную. Нажмите на соответствующую ссылку в окне настроек расширения, чтобы научиться писать собственные наборы правил.
Одним из ключевых моментов в обеспечении безопасности сайта на WordPress является установка специального SSL-сертификата. С его помощью пользователи смогут обмениваться информацией с вашим сайтом через безопасное и защищенное соединение по протоколу. Но нужно будет проделать некоторую, хоть и несложную работу, чтоб определить, какую информацию нужно защитить и убедиться, что она покидает сайт в таком виде.
Что такое SSL?
Протокол SSL – это стандарт для обмена надежной информацией между веб-сайтом и браузером. Не вдаваясь в подробности технической части его работы, его можно объяснить так: он устанавливает доверительные отношения между сервером и веб-браузером. Когда «доверие» установлено, сервер шифрует данные таким образом, что только конечный получатель (клиент) сможет их расшифровать.
Такие меры безопасности принимаются из-за вероятности, что любые данные, передаваемые через интернет с одной точки в другую, могут быть в любой момент перехвачены хакерами или другими участниками сети.
Передача же защищенных данных дает уверенность, что только конкретный получатель сможет их прочесть. Если их откроет кто-либо другой, то увидит только искаженное изображение, набор каких-то символов. Это лучше, чем видимые данные кредитной карты, личные записи, письма, прочее.
Использование SSL требует от сайта установки специального сертификата. Приобретение такого сертификата передает браузеру важную информацию о безопасности вашего сайта. В большинстве браузерах, когда вы заходите на безопасный сайт, вы увидите иконку в виде зеленого замочка в адресной строке. Это означает наличие SSL -сертификата :
Наличие SSL является обязательным для любого сайта, занимающегося электронной коммерцией, и рекомендуется тем, кто имеет дело с обменом важной информации. Не будем вдаваться в подробности процесса добавления сертификата в пакет вашего хостинга, так как он зависит от вида хостинг-провайдера. Но хорошая хостинг-компания обязательно предложит вам самый простой способ установки SSL-сертификата.
После установки сертификата каждый посетитель вашего сайта сможет иметь доступ к его страницам через HTTP или HTTPS соединение . Не зря употреблено слово «сможет», а не «будет», так как добавления самого сертификата еще недостаточно. Вам нужно настроить WordPress таким образом, чтоб заставить посетителей использовать HTTPS.
Когда мы говорим «использование SSL», то подразумеваем, что обмен информацией между сервером и браузером осуществляется через протокол HTTPS вместо незащищенного протокола HTTP. Это требует наличия валидного SSL-сертификата, но не только.
Где и как использовать HTTPS?
Можно настроить сайт на WordPress таким образом, чтобы посетители использовали HTTPS при входе на сайт, при использовании админки, на каждой или же на определенных страницах вашего сайта. Есть два подхода к определению необходимости его использования. Первый – по необходимости. То есть, только самые чувствительные файлы. Второй способ – для всего сайта.
Не так давно Google заявил о том, что защищенные сайты с помощью HTTPS имеют более высокие показатели в поисковой выдаче. Это значит, что использование HTTPS не только обеспечит защиту сайта, но и поспособствует SEO. Также этот протокол поможет предотвратить или устранить любые человеческие ошибки в отношении конфиденциальности той или иной информации.
Недостаток использования SSL для всего сайта состоит в том, что протокол HTTPS работает медленнее, нежели HTTP. Причина в том, что данные должны зашифровываться перед их отправкой и расшифровываться при их получении. А это дополнительная нагрузка на сервер, отправляющий данные и веб-браузер, получающий их. Соответственно, этот процесс требует дополнительного времени.
Так как скорость загрузки страницы очень важна для конечного пользователя и для SEO, необходимо определить, является ли важной защита нечувствительного контента (как например, контент страниц, доступный всем пользователям). Это, конечно же, зависит от многих факторов и определяется после оценки и тестирования вашего сайта.
В большинстве случаев, к наиболее чувствительным данным относится информация личного характера, касающаяся компании. Это финансовая информация, пароли, номер кредитной карты, прочее. И, как уже говорилось ранее, установка HTTPS является обязательным условием для всех сайтов электронной коммерции. А также в случае передачи любой чувствительной информации. К ним относятся, например, данные медицинских карт.
Имейте ввиду, что если вас когда-либо наймут для создания сайта, с/на который будут отправляться медицинские или финансовые данные, то ваш клиент обязательно проконсультируется с юристом касательно вопроса безопасности. И эти потребности в области безопасности должны быть включены в рамках договора на создание сайта.
Настраиваем SSL вручную на WordPress
Существует константа, которую вы можете использовать в файле wp-config.php и обеспечить безопасное соединение в админке. И эта константа - FORCE_SSL_ADMIN – требует наличия SSL-сертификата и HTTPS для доступа в любое место админки WordPress.
По умолчанию эта функция выключена. Чтобы ее включить, нужно добавить в файл wp-config.php следующий код:
define("FORCE_SSL_ADMIN ", true);
Почитайте замечательную в WordPress Codex о том, как настроить HTTPS на всем сайте и зашифровать страницы фронтенда.
Но если вы не сможете сделать все это с помощью двух констант, то есть еще один способ – использование плагина. О чем мы сейчас и поговорим.
Использование плагина для HTTPS
Существует отличный бесплатный плагин WordPress HTTPS (SSL) , с помощью которого можно очень легко произвести все настройки. Правда, плагин давно не обновлялся и, как видно из каталога плагинов, тестировался только для версии WordPress 3.5.2. Но он отлично работает также и с версиями 3.9 и 4.0.
Этот плагин осуществляет две функции. Он позволяет задать глобальные SSL-настройки для вашего сайта или сайтов.
Если вы не хотите использовать SSL для всего сайта, то плагин позволяет выбрать конкретные записи и страницы для этого.
Процесс настройки плагина довольно прост. Панель управления дает вам возможность настраивать опции для всего сайта (или нескольким сайтам, если у вас инсталляция WordPress).
Плагин также предоставляет дополнения в виде метабоксов к каждому редактору постов, что позволяет вам индивидуально настроить запись или страницу. Это очень удобно, если нужно обезопасить доступ к нескольким страницам сразу.
Для безопасности сайта SSL недостаточно!
Установка и настройка SSL является, конечно, важным шагом на пути к обеспечению безопасности сайта на WordPress и пользовательских данных, но и этого недостаточно. Пароль вашего сайта все равно можно узнать или угадать. И в этом случае SSL никак не защитит сайт от использования вашей информации теми, кто ее получил путем взлома доступа к сайту.
Как можно перестраховаться? Выбирать только очень сильные пароли, своевременно обновлять плагины и темы на WordPress, периодически сканировать на наличие вредоносных скриптов, прочее.
Само по себе наличие на вашем сайте SSL-сертификата не обезопасит его. Необходимо использовать еще и соответствующие плагины безопасности, как например, WordFence , iThemes Security или сервис Sucuri .
Но установка SSL сертификата и конфигурация WordPress для использования HTTPS – важный и первый шаг к обеспечению безопасности сайта. И, как уже говорилось, довольно простой.
Бонус! Попробуйте бесплатный SSL от Let’s Encrypt на Hostenko
Если вы пользователь WordPress хостинга от , вы можете самостоятельно подключить SSL сертификат от Let"s Encrypt совершенно бесплатно, нажав на 1 кнопку.
Для этого нужно перейти в хостинга, открыть блок "Управление хостингом" для вашего сайта и в разделе "Безопасность" нажать на кнопку "Добавить SSL сертификат Let"s Encrypt":
Вся процедура пройдет в автоматическом режиме, и уже через пару секунд к вашему сайту будет подключен бесплатный SSL сертификат от Let"s Encrypt, а адрес сайта изменится на https. Добавить SSL сертификат можно для любого сайта на собственном домене.
Для защиты интернет-соединения пользуйтесь программой Kaspersky Securе Connection. Kaspersky Securе Connection устанавливается автоматически вместе с Kaspersky Internet Security 2017.
Когда вы подключаетесь к Wi-Fi, Kaspersky Securе Connection проверяет сеть, и если сеть небезопасна, предлагает включить защищенное соединение. Нажмите Включить защиту для безопасной работы в сети.
Kaspersky Secure Connection установит защищенное соединение и покажет уведомление.
Kaspersky Securе Connection скрывает ваш IP-адрес и местоположение, а все данные передает по зашифрованному каналу. Пользуйтесь Kaspersky Securе Connection, когда делаете покупки в интернете или переписываетесь в социальных сетях, чтобы сохранить в безопасности ваши персональные и платежные данные.
Как активировать Безопасное соединение
По умолчанию Безопасное соединение работает в ограниченном режиме. В ограниченном режиме вам доступно 200 МБ защищенного трафика в сутки. Когда лимит исчерпан, в окне программы Kaspersky Secure Connection появляется сообщение о превышении лимита.
Чтобы снять ограничение, купите лицензию Kaspersky Secure Connection через интернет-магазин в My Kaspersky и активируйте программу.
Почему Безопасное соединение не работает
Если Безопасное соединение не работает, в окне программы Kaspersky Secure Connection появляется сообщение "Защита интернет-соединения недоступна".
Kaspersky Secure Connection может не работать по следующим причинам:
- Отсутствует подключение к интернету.
- На компьютере включен сетевой экран.
- Программа стороннего производителя уже установила VPN-соединение.
- Параметры прокси-сервера не позволяют установить безопасное соединение.
- Интернет-провайдер запретил установку безопасного соединения.
- Не удалось получить данные из инфраструктуры.
Ограничения использования Безопасного соединения
Безопасное соединение автоматически запускается при включенной настройке при переходе к HTTP-версиям сайтов знакомств, социальных сетей, электронной почты, финансовым и сайтам для бронирования.
- Перевод
Как же все-таки работает HTTPS? Это вопрос, над которым я бился несколько дней в своем рабочем проекте.
Будучи Web-разработчиком, я понимал, что использование HTTPS для защиты пользовательских данных – это очень и очень хорошая идея, но у меня никогда не было кристального понимания, как HTTPS на самом деле устроен.
Как данные защищаются? Как клиент и сервер могут установить безопасное соединение, если кто-то уже прослушивает их канал? Что такое сертификат безопасности и почему я должен кому-то платить, чтобы получить его?
Трубопровод
Перед тем как мы погрузимся в то, как это работает, давайте коротко поговорим о том, почему так важно защищать Интернет-соединения и от чего защищает HTTPS.Когда браузер делает запрос к Вашему любимому веб-сайту, этот запрос должен пройти через множество различных сетей, любая из которых может быть потенциально использована для прослушивания или для вмешательства в установленное соединение.
С вашего собственного компьютера на другие компьютеры вашей локальной сети, через роутеры и свитчи, через вашего провайдера и через множество других промежуточных провайдеров – огромное количество организаций ретранслирует ваши данные. Если злоумышленник окажется хотя бы в одной из них - у него есть возможность посмотреть, какие данные передаются.
Как правило, запросы передаются посредством обычного HTTP, в котором и запрос клиента, и ответ сервера передаются в открытом виде. И есть множество весомых аргументов, почему HTTP не использует шифрование по умолчанию:
Для этого требуется больше вычислительных мощностей
Передается больше данных
Нельзя использовать кеширование
Но в некоторых случаях, когда по каналу связи передается исключительно важная информация (такая как, пароли или данные кредитных карт), необходимо обеспечить дополнительные меры, предотвращающие прослушивание таких соединений.
Transport Layer Security (TLS)
Сейчас мы собираемся погрузиться в мир криптографии, но нам не потребуется для этого какого-то особенного опыта - мы рассмотрим только самые общие вопросы. Итак, криптография позволяет защитить соединение от потенциальных злоумышленников, которые хотят воздействовать на соединение или просто прослушивать его.TLS - наследник SSL - это такой протокол, наиболее часто применяемый для обеспечения безопасного HTTP соединения (так называемого HTTPS). TLS расположен на уровень ниже протокола HTTP в модели OSI . Объясняя на пальцах, это означает, что в процессе выполнения запроса сперва происходят все “вещи”, связанные с TLS-соединением и уже потом, все что связано с HTTP-соединением.
TLS – гибридная криптографическая система. Это означает, что она использует несколько криптографических подходов, которые мы и рассмотрим далее:
1) Асиметричное шифрование (криптосистема с открытым ключом) для генерации общего секретного ключа и аутентификации (то есть удостоверения в том, что вы – тот за кого себя выдаете).
2) Симметричное шифрование , использующее секретный ключ для дальнейшего шифрования запросов и ответов.
Криптосистема с открытым ключом
Криптосистема с открытым ключом – это разновидность криптографической системы, когда у каждой стороны есть и открытый, и закрытый ключ, математически связанные между собой. Открытый ключ используется для шифрования текста сообщения в “тарабарщину”, в то время как закрытый ключ используется для дешифрования и получения исходного текста.С тех пор как сообщение было зашифровано с помощью открытого ключа, оно может быть расшифровано только соответствующим ему закрытым ключом. Ни один из ключей не может выполнять обе функции. Открытый ключ публикуется в открытом доступе без риска подвергнуть систему угрозам, но закрытый ключ не должен попасть к кому-либо, не имеющему прав на дешифровку данных. Итак, мы имеем ключи – открытый и закрытый. Одним из наиболее впечатляющих достоинств ассиметричного шифрования является то, что две стороны, ранее совершенно не знающие друг друга, могут установить защищенное соединение, изначально обмениваясь данными по открытому, незащищенному соединению.
Клиент и сервер используют свои собственные закрытые ключи (каждый – свой) и опубликованный открытый ключ для создания общего секретного ключа на сессию.
Это означает, что если кто-нибудь находится между клиентом и сервером и наблюдает за соединением – он все равно не сможет узнать ни закрытый ключ клиента, ни закрытый ключ сервера, ни секретный ключ сессии.
Как это возможно? Математика!
Алгоритм Ди́ффи - Хе́ллмана
Одним из наиболее распространенных подходов является алгоритм обмена ключами Ди́ффи - Хе́ллмана (DH). Этот алгоритм позволяет клиенту и серверу договориться по поводу общего секретного ключа, без необходимости передачи секретного ключа по соединению. Таким образом, злоумышленники, прослушивающие канал, не смогу определить секретный ключ, даже если они будут перехватывать все пакеты данных без исключения.Как только произошел обмен ключами по DH-алгоритму, полученный секретный ключ может использоваться для шифрования дальнейшего соединения в рамках данной сессии, используя намного более простое симметричное шифрование.
Немного математики…
Математические функции, лежащие в основе этого алгоритма, имею важную отличительную особенность - они относительно просто вычисляются в прямом направлении, но практически не вычисляются в обратном. Это именно та область, где в игру вступают очень большие простые числа.Пусть Алиса и Боб – две стороны, осуществляющие обмен ключами по DH-алгоритму. Сперва они договариваются о некотором основании root (обычно маленьком числе, таком как 2,3 или 5) и об очень большом простом числе prime (больше чем 300 цифр). Оба значения пересылаются в открытом виде по каналу связи, без угрозы компрометировать соединение.
Напомним, что и у Алисы, и у Боба есть собственные закрытые ключи (из более чем 100 цифр), которые никогда не передаются по каналам связи.
По каналу связи же передается смесь mixture , полученная из закрытых ключей, а также значений prime и root .
Таким образом:
Alice’s mixture = (root ^ Alice’s Secret) % prime
Bob’s mixture = (root ^ Bob’s Secret) % prime
где % - остаток от деления
Таким образом, Алиса создает свою смесь mixture на основе утвержденных значений констант (root и prime ), Боб делает то же самое. Как только они получили значения mixture друг друга, они производят дополнительные математические операции для получения закрытого ключа сессии. А именно:
Вычисления Алисы
(Bob’s mixture ^ Alice’s Secret) % prime
Вычисления Боба
(Alice’s mixture ^ Bob’s Secret) % prime
Результатом этих операций является одно и то же число, как для Алисы, так и для Боба, и это число и становится закрытым ключом на данную сессию. Обратите внимание, что ни одна из сторон не должна была пересылать свой закрытый ключ по каналу связи, и полученный секретный ключ так же не передавался по открытому соединению. Великолепно!
Для тех, кто меньше подкован в математическом плане, Wikipedia дает прекрасную картинку , объясняющую данный процесс на примере смешивания цветов:
Обратите внимание как начальный цвет (желтый) в итоге превращается в один и тот же “смешанный” цвет и у Боба, и у Алисы. Единственное, что передается по открытому каналу связи так это наполовину смешанные цвета, на самом деле бессмысленные для любого прослушивающего канал связи.
Симметричное шифрование
Обмен ключами происходит всего один раз за сессию, во время установления соединения. Когда же стороны уже договорились о секретном ключе, клиент-серверное взаимодействие происходит с помощью симметричного шифрования, которое намного эффективнее для передачи информации, поскольку не требуется дополнительные издержки на подтверждения.Используя секретный ключ, полученный ранее, а также договорившись по поводу режима шифрования, клиент и сервер могут безопасно обмениваться данными, шифруя и дешифруя сообщения, полученные друг от друга с использованием секретного ключа. Злоумышленник, подключившийся каналу, будет видеть лишь “мусор”, гуляющий по сети взад-вперед.
Аутентификация
Алгоритм Диффи-Хеллмана позволяет двум сторонам получить закрытый секретный ключ. Но откуда обе стороны могут уверены, что разговаривают действительно друг с другом? Мы еще не говорили об аутентификации.Что если я позвоню своему приятелю, мы осуществим DH-обмен ключами, но вдруг окажется, что мой звонок был перехвачен и на самом деле я общался с кем-то другим?! Я по прежнему смогу безопасно общаться с этим человеком – никто больше не сможет нас прослушать – но это будет совсем не тот, с кем я думаю, что общаюсь. Это не слишком безопасно!
Для решения проблемы аутентификации, нам нужна Инфраструктура открытых ключей , позволяющая быть уверенным, что субъекты являются теми за кого себя выдают. Эта инфраструктура создана для создания, управления, распространения и отзыва цифровых сертификатов. Сертификаты – это те раздражающие штуки, за которые нужно платить, чтобы сайт работал по HTTPS.
Но, на самом деле, что это за сертификат, и как он предоставляет нам безопасность?
Сертификаты
В самом грубом приближении, цифровой сертификат – это файл, использующий электронной-цифровую подпись (подробнее об этом через минуту) и связывающий открытый (публичный) ключ компьютера с его принадлежностью. Цифровая подпись на сертификате означает, что некто удостоверяет тот факт, что данный открытый ключ принадлежит определенному лицу или организации.По сути, сертификаты связывают доменные имена с определенным публичным ключом. Это предотвращает возможность того, что злоумышленник предоставит свой публичный ключ, выдавая себя за сервер, к которому обращается клиент.
В примере с телефоном, приведенном выше, хакер может попытаться предъявить мне свой публичный ключ, выдавая себя за моего друга – но подпись на его сертификате не будет принадлежать тому, кому я доверяю.
Чтобы сертификату доверял любой веб-браузер, он должен быть подписан аккредитованным удостоверяющим центром (центром сертификации, Certificate Authority, CA). CA – это компании, выполняющие ручную проверку, того что лицо, пытающееся получить сертификат, удовлетворяет следующим двум условиям:
1. является реально существующим;
2. имеет доступ к домену, сертификат для которого оно пытается получить.
Как только CA удостоверяется в том, что заявитель – реальный и он реально контролирует домен, CA подписывает сертификат для этого сайта, по сути, устанавливая штамп подтверждения на том факте, что публичный ключ сайта действительно принадлежит ему и ему можно доверять.
В ваш браузер уже изначально предзагружен список аккредитованных CA. Если сервер возвращает сертификат, не подписанный аккредитованным CA, то появится большое красное предупреждение. В противном случае, каждый мог бы подписывать фиктивные сертификаты.
Так что даже если хакер взял открытый ключ своего сервера и сгенерировал цифровой сертификат, подтверждающий что этот публичный ключ, ассоциирован с сайтом facebook.com, браузер не поверит в это, поскольку сертификат не подписан аккредитованным CA.
Прочие вещи которые нужно знать о сертификатах
Расширенная валидация
В дополнение к обычным X.509 сертификатам, существуют Extended validation сертификаты, обеспечивающие более высокий уровень доверия. Выдавая такой сертификат, CA совершает еще больше проверок в отношении лица, получающего сертификат (обычно используя паспортные данные или счета).При получение такого сертификата, браузер отображает в адресной строке зеленую плашку, в дополнение к обычной иконке с замочком.
Обслуживание множества веб-сайтов на одном сервере
Поскольку обмен данными по протоколу TLS происходит еще до начала HTTP соединения, могут возникать проблемы в случае, если несколько веб-сайтов расположены на одном и том же веб-сервере, по тому же IP-адресу. Роутинг виртуальных хостов осуществляется веб-сервером, но TLS-соединение возникает еще раньше. Единый сертификат на весь сервер будет использоваться при запросе к любому сайту, расположенному на сервере, что может вызватьHTTPS - что такое, где применяется и зачем вообще нужно? Проблемы безопасности актуальны везде - в том числе и во Всемирной паутине. С увеличением количества личных данных, что передаются между сайтами (не в последнюю очередь благодаря развитию социальных сетей), активно стал подниматься вопрос безопасности и конфиденциальности.
Что значит HTTPS?
Что такое HTTPS и как расшифровывается? Если не пользоваться сокращением, то необходимо писать Secure. И чтобы понять все особенности, рассмотрим каждое слово. HyperText используется для описания составляющей сайта, для которой не нужны дополнительные расширения или скрипты - текст, изображения и таблицы. Transfer Protocol - стандарт между различными машинами, который определяет, что должно выступать в качестве сигнала начала передачи, как обозначаются данные и т. д. Secure - передача данных шифруется по протоколу SSL, что делает проблематичным не только перехват, но и получение конфиденциальной информации (перехват - это только полдела). Защищенное соединение HTTPS, хотя и не является не взламываемым, превращает получение зашифрованной информации в нелегкое дело. Почему так, будет объяснено далее.
История развития
Изначально защищенное соединение HTTPS использовалось исключительно для защиты ценной информации (номера карточек, пароли к ним). Был распространён протокол первоначально лишь при взаимодействии с банковскими сайтами или онлайн-магазинами. Поэтому о HTTPS (что такое он собой представляет) знали только пользователи этих сервисов. Затем начали подключаться поисковики и социальные сети, а за ними подтянулись и другие сайты. Сначала шифровались исключительно логины и пароли, но сейчас шифрованию поддаётся вся информация, передаваемая между сервером и компьютером. Сейчас, прежде чем начнётся обмен данными с пользователем, должно сначала установиться соединение HTTPS, а потом уже пересылаются пакеты данных с информацией.
Как происходит шифрование передаваемых документов?
Как зашифровать огромнейший массив данных, что передаётся между не связанными между собой сетями? Когда вы набираете сообщение в электронной почте, то прежде чем оно дойдёт к получателю, его сможет прочитать с добрый десяток разных провайдеров интернета. И если где-то между ними вклинится мошенник - то и он тоже. Для этого достаточно просто открыть соединение. Вот что происходит в обычном режиме.
Но если используется протокол HTTPS, то меняет дело. Его можно сравнить с договором между вашим компьютером и сервером сайта, в котором прописано, что все данные будут шифроваться по определённому шифру, и при этом только они знают «кодовое слово», позволяющее получить доступ к информации. В таком случае любой, кто получит доступ к потоку информации, не сможет её прочитать, ведь у него нет ключа. Чисто теоретически возможность ознакомиться с содержимым есть, но процесс дешифровки данных будет чрезвычайно длительным (требуются годы или даже десятилетия на самых мощных компьютерах).
Особенности шифрования
Особенности использования протокола заключаются в том, что для каждого пользователя создаётся отдельный сертификат, имеющий свой ключ. Сертификат от каждого сайта загружается в браузер пользователя, и единственный более-менее вероятный способ перехвата данных в будущем - перехватить загрузку сертификата при первом заходе на сайт. Длина ключа может составлять от 40 до 256 битов. Но в большинстве современных сайтов используется ключ длиной от 128 битов. Нижнюю границу можно встретить исключительно в США, где недавно действовали экспортные ограничения. Также к особенностям протокола следует отнести и то, что на одном интернет-адресе может располагаться только один сайт, защищенный этим протоколом. Расположение нескольких сайтов возможно, но требует применения дополнительных расширений.
Заключение
Вот и конец статьи о протоколе HTTPS. Что такое он собой представляет и где он используется, вы знаете. Помните, что ваша в первую очередь в ваших руках. Поэтому если видно, что HTTPS подсвечивается красным, подождите - вполне возможно, что между вами и сервером есть какой-то пробел, позволяющий потерять данные. Ведь использовать HTTPS нужно именно для предупреждения проблем с похищением данных, и если протокол сообщает о проблемах, его нельзя игнорировать. Хотя не помешает проверить компьютер на предмет неточностей вроде неправильно выставленной даты.
