Какво не знаем за HTTPS и сигурния обмен на данни в интернет?

Силното криптиране е най-добрият гарант за защита и поверителност, който имаме в този момент.

Всички сме виждали малкото катинарче, което в повечето браузъри показва наличието на защитено предаване на данни чрез HTTPS протокол. Това, което знаем досега е, че HTTPS означава сигурност и трябва да се убедим, че го има, преди да започнем да въвеждаме чувствителна информация в уеб пространството, особено при данни за разплащания или банкови услуги. Но какво всъщност означава HTTPS?

HTTPS е съкращение от Hypertext Transfer Protocol Secure или казано по-ясно – защитена версия на HTTP, което от своя страна е основният начин, по който се извършва преноса на данни в WWW. По същество, свързването към уебсайт посредством HTTPS (вместо стандартното HTTP) означава, че всички данни, които обменяме с този сайт – независимо дали въвеждаме информация за вход в профил, оставяме коментар или извършваме плащане – ще преминат криптирани през транспортното ниво (TLS) или неговия предшественик – SSL.

И така, HTTPS означава криптиране, а криптирането означава сигурност, но как да разберем, че комуникираме с истинския човек или услуга, с които искаме да осъществим връзка? Сигурен съм, че сте се замисляли над това: Как да бъдем сигурни, че сайта, в който се намираме или се опитваме да влезем, не е фалшив? Тук е моментът, в който в игра влизат цифровите сертификати.

Цифровият сертификат е електронен документ, съдържащ свой уникален алгоритмичен цифров подпис:

• информация за уебсайта или услугата, за които е издаден сертификата;
• информацията за организацията, която издава самия сертификат;
• срок на валидност – посочва кога е издаден сертификатът и колко време е валиден.

Подписът е частта от сертификата, която потвърждава, че ние наистина общуваме с това, което искаме и че самата комуникация е криптирана по пътя на пренос.

Можем да отидем в адресната лента и просто да прибавим „https://“ пред URL адреса на някакъв сайт. Ако сайтът притежава валиден сертификат, то тогава сървърът ще предостави този сертификат на нашия браузър (който има вграден списък от надеждни издатели на сертификати) и няма да забележим промяна във визуализацията на съдържанието му. Казано по-просто, сертификатът удостоверява, че даден сайт или услуга е това, което претендира да бъде. В зависимост от браузъра, можем да кликнем върху катинарчето пред URL адреса (или някакъв негов еквивалент), за да получим допълнителна информация за сертификата и неговия издател.

И все пак, ако се опитаме да достъпим HTTPS версията на сайт, който не притежава валиден сертификат, ще видим предупреждение наподобяващо следното.

Това предупреждение е само начин на браузъра да ни осведоми, че не може да провери самоличността на сървъра на сайта, с който се опитваме да се свържем. Вероятно можете да си представите колко важно е да има система за сертификати като тази, за да проверява дали сайтовете и услугите са тези, които смятаме, че са.

Сега, след като имаме елементарни познания за HTTPS и сертификати, може би се чудите как тези две неща са свързани помежду си. Накратко, HTTPS означава, че информацията, която изпращаме е защитена (криптирана), а цифровият сертификат гарантира, че тази информация ще достигне дотам, докъдето се предполага.

Последното нещо, което остава да разгледаме, са доставчиците на удостоверителни услуги. Редица организации продават или издават цифрови сертификати. Те се наричат сертифициращи органи, като напр. GoDaddy, VeriSign, и Entrust. Освен от тях, цифрови сертификати може да се закупят и от повечето хостинг провайдери.

Полезна информация

URL адресите на HTTPS съдържание винаги започват с „https://“ и използват порт 443 по подразбиране, за разлика от обикновената HTTP връзка, където започват с „http://“ и използват порт 80 по подразбиране.

HTTPS обикновено работи по-бавно от HTTP. Разликата може бъде усетена при обработката на големи количества данни.