Return to site

HTTP és HTTPs különbségek,

Google szabályok

Miért fontos a "biztonságos weboldal" megjelölés a Google rendszerében

· Google,SEO,Http,HTTPs

Az alábbi kérdésekre kaphat egyszerű és közérthető válaszokat az alábbi cikkből.:

  • Mi történik ezzel a HTTP - HTTPs dologgal?
  • Mi a különbség a HTTP és a HTTPs között technikailag és miért fontos ez nekünk?
  • Kétkulcsos titkosításról bővebben.
  • Mi várható a későbbiekben?
  • Mi a célja a Google-nak a https protokoll erőltetésével?
  • Mit kell csinálni?
  • Mi az az SSL tanúsítvány?
  • Mihez, kinek kellhet SSL tanúsítvány?

Júliusban érkezett a Chrome 68, ami minden HTTP-weboldalnál kiírja majd, hogy "Nem biztonságos".

​A Google Chrome szeptembertől már a nem biztonságos weboldalakra történő figyelmeztetésekre fogja helyezni a hangsúlyt a címsorban.

A Google korábban is küzdött azért, hogy a web HTTPS-alapú legyen, és igyekszik elérni, hogy mindenhol átvegyék a biztonságosabb protokollt. Ennek eszköze lett a Chrome 68 is.

Összel a Google úgy határozott, hogy módosít az eddigi szemléleten. A Chrome 69-es verziójától kezdődően már nem fogja kiírni, hogy "biztonságos" a címsorban, hanem csak egy lakattal jelzi, hogy titkosított a kommunikáció a felhasználó által letöltött weboldal esetében. A Chrome 70 pedig a "Nem biztonságos" kifejezést fogja pirossal megjeleníteni a hagyományos HTTP protokollt alkalmazó webhelyek esetében. Vagyis ősztől már a védtelen weblapok lesznek a figyelem középpontjában.

A webböngészők esetében megszokhattuk, hogy amennyiben biztonságos, titkosított kommunikációt használó, HTTPS-alapú weboldal letöltésére kerül sor, akkor az alkalmazások címsorában megjelenik a biztonságra utaló zöld lakat ikon, esetenként az is, hogy "biztonságos" a weblap. A tanúsítvány típusától függően akár annak a szervezetnek a nevét is kiírják, amelyhez a weboldal tartozik. Természetesen a fentiek alól a Google Chrome sem kivétel. 

Mi a különbség a HTTP és a HTTPs között technikailag és miért fontos ez nekünk?

forrás.: hwsw

Mindez azért fontos, mert a HTTP-protokoll egyszerű szöveg alapú, amelyet minden közbeeső fél (hálózati szolgáltató, vagy épp potenciális támadó) elolvashat és módosíthat. Emiatt a statikus, adatot nem kérő oldalak is veszélyessé válhatnak, például az otthoni router megfertőzésével a weboldalakba ágyazható rosszindulatú kód, amely akár fertőzött szoftver (ártatlannak látszó Flash) letöltésére is ráveheti a felhasználót - de hasonló módszerrel akár a manapság népszerű kriptobányász megoldások is igába hajthatják a gyanútlan látogató erőforrásait, mint a Coinhive. A HTTPS ezt a támadási vektort kiszűri, az oldal és a felhasználó böngészője között biztonságossá teszi a kommunikációt. 

Ez persze nem jelenti azt, hogy a két végpont (a szerver vagy a kliens) megfertőzésével ne lehetne továbbra is támadást indítani, de a lépés ennek ellenére sokkal biztonságosabbá teszi a böngészést.

Hogy a HTTP gyengeségeit milyen egyszerű kihasználni, az azok demonstárcióját célzó eszközök terjedése is jól mutatja, ilyen például a WiFi Pineapple, amely kifejezetten a titkosítatlan adatforgalom kockázatait hivatott illusztrálni. A minimális technológiai affinitással rendelkezők számára is egyszerűen használható Wi-Fi auditplatformmal begyűjthető a hálózat titkosítatlan adatforgalmának tartalma - az eszköz ráadásul online bárki számára megvásárolható.

Kétkulcsos titkosítás - wikipedia - 

A https alapja a kétkulcsos titkosítás. A kulcspár két összetartozó, nagyon nagy (több száz jegyű) szám. A titkosítandó szöveget az egyik szám segítségével, egy nyilvános eljárással rejtjelezzük. Az így kapott üzenet ugyanazzal az eljárással, de a kulcspár másik tagjának segítségével fejthető csak vissza.

Ha a kulcspár egyik tagját titokban tartjuk, a másik kulcsot nyilvánosságra hozzuk, és valaki egy üzenetet a nyilvános kulcsunkkal rejtjelez, akkor azt csak mi fogjuk tudni elolvasni. A titkosítás mindig a nyilvános kulccsal történik.

A nyilvános kulccsal visszafejthetők lesznek azok az üzenetek, amelyeket mi rejtjeleztünk. A visszafejthetőség igazolja, hogy a titkos üzenetet mi írtuk (hiszen a titkosító kulcsot csak mi ismerjük), ezért ezt az eljárást digitális aláírásnak nevezzük. A digitális aláírás tehát mindig titkos kulccsal történő rejtjelezést jelent.

Mi várható a későbbiekben?

A júliusban érkező verzióval a Google böngészője már minden olyan oldalt megjelöl, ami nem HTTPS-kapcsolaton működik. Ez azt jelenti, hogy minden egyes HTTP-weboldalnál megjelenít majd egy figyelmeztetést, konkrétan azt, hogy "Nem biztonságos". 

A Google azt reméli, hogy a plecsnit látva a felhasználók mérlegelik majd a böngészési szokásaikat, és a jövőben inkább HTTPS-kapcsolatot használó honlapokra térnek át. Ez persze az oldalak tulajdonosait is arra ösztönzi majd, hogy fejlesszék a biztonságot. 

Politika vagy technológia?

A technológia használatára egyébként kormányzati oldalról is egyre több helyen bátorítanak, az Egyesült Királyság online biztonsági központja például blogposztban is biztatja rá az üzemeltetőket.

Fontosabb érdekességek:

A Google elárult néhány érdekességet is a HTTPS elterjedtségéről. Az óriás szerint a Chrome-ban mért forgalom 68 százaléka már védett (Androidon és Windowson), illetve macOS és Chrome OS alatt ez az arány több mint 78 százalék. A top 100 weboldalból 81 már alapból HTTPS-t használ. 

Mi a célja a Google-nak a https protokoll erőltetésével?

"Azt reméljük, hogy e változások tovább segítik az alapértelmezetten biztonságos és könnyen kezelhető Web felé vezető utón való előrehaladást. A HTTPS olcsóbban és könnyebben megvalósítható mint korábban, így nem érdemes halogatni a protokollra való migrációt" - nyilatkozta Emily Schechter, a Chrome Security termékmenedzsere.

SSL -ről és a HTTPs -ről a wikipedia is nagyon szépeket ír itt.:

https://hu.wikipedia.org/wiki/Https 

Mit kell csinálni, hogy rendben legyünk?

SSL-t kell vásárolni ami egy biztonsági bigyusz, amivel megkapjuk a https kezdetű linkünket.

Mi az az SSL tanúsítvány?

forrás: ezit.hu - Azért is linkelem ide őket, mert nagyon szépen leírták! Vegyetek tőlük ssl-t! :)

Az SSL tanúsítvány a felhasználó és a webszerver között titkosítással és hitelesítéssel teszi biztonságossá a kommunikációt. A legtöbb böngészőben tanúsítványtól függően egy kis lakat, zöld címsor, https-sel kezdődő webcím jelzi az érvényes SSL meglétét, 2017-ben a Chrome böngésző az 56-os verziójától kezdve már figyelmeztet is ha nem titkosított honlapon járunk. A Google pedig a találati listán is hátrébb sorolhatja a hitelesítés nélküli weboldalakat.

Az SSL tanúsítvánnyal védett honlap, webáruház biztonságos, nem lehallgathatók a bizalmas adatok, jelszavak, bankkártyaszámok.

Az SSL tanúsítványoknak van érvényességi ideje, melyet annak lejárata előtt érdemes megújítani. Amint a tanúsítvány lejár, a honlap védelme megszűnik, és erről a felhasználót a böngészők is figyelmeztetik, ezért érdemes nem az utolsó pillanatra hagyni a megújítást.

Mihez, kinek kellhet SSL tanúsítvány?

El tudja képzelni, hogy minden banki azonosítóját és jelszavát bárkinek odaadja az utcán? Ugye, hogy nem! Az interneten egy nem SSL-lel titkosított honlapon keresztül ugyanezt teszi.

SSL tanúsítvány minden olyan honlaphoz erősen ajánlott, amely személyes adatokat kér be és dolgoz fel. Nem csak egy, önmagában a bizalom nevelésére szolgáló marketing eszköz, bár tény, hogy növeli a bizalmat. Valódi, biztonságos védelme a honlap és a szerver által küldött és fogadott adatoknak.

Gratulálunk ha megoldottad, most már biztonságos szolgáltató vagy elvileg a Google szerint! :)

All Posts
×

Almost done…

We just sent you an email. Please click the link in the email to confirm your subscription!

OKSubscriptions powered by Strikingly