Sådan kontrolleres sikkerheden af ​​en HTTPS-forbindelse i Chrome

De fleste mennesker, der bruger internettet, ved allerede, at hængelåsikonet i URL-linjen betyder, at siden er sikker, men du er måske ikke klar over præcis, hvad det betyder, eller hvor sikker din forbindelse egentlig er med den hængelås.

Hængelåsen er en visuel indikation af, at din forbindelse til hjemmesiden er blevet sikret ved hjælp af HTTPS. HTTPS, eller Hypertext Transfer Protocol Secure, er en version af HTTP-protokollen, der bruger kryptering til at sikre dine data mod nysgerrige øjne.

Kryptering er en proces med at kryptere data med en krypteringsciffer og nøgle, så de kun kan læses ved at bruge dekrypteringsnøglen. Du kan tænke på det som en låseboks, du kan skrive en besked, låse boksen, og så kan kun nogen med den rigtige nøgle åbne boksen for at læse beskeden. Dette holder dine data sikre mod hackere, der forsøger at stjæle kontooplysninger.

En vigtig information, du bør vide, er, at krypteringen og sikkerheden af ​​HTTPS kun bekræfter, at din forbindelse til det websted, du indtastede i URL-linjen, er sikker. Det betyder ikke, at hjemmesiden er sikker, eller endda at det er den hjemmeside, du har tænkt dig at browse til. Mange phishing- og malware-websteder går over til at bruge HTTPS, efterhånden som det bliver mere tilgængeligt, så det er ikke sikkert at stole på ethvert websted, der bruger HTTPS.

Tip: Et "phishing"-websted forsøger at narre dig til at indsende følsomme data, såsom kontooplysninger, ved at forfalske en legitim login-side. Links til phishing-sider sendes ofte via e-mail. Malware er en samlebetegnelse for "ondsindet software", det inkluderer vira, orme, løsepenge og mere.

Bemærk: Du bør aldrig indtaste dit brugernavn og din adgangskode eller andre følsomme oplysninger såsom bankoplysninger via en usikker forbindelse. Selvom et websted har hængelåsen og HTTPS, betyder det ikke, at du stadig ikke skal være forsigtig med, hvor du indtaster dine oplysninger.

Chrome-udviklerværktøjer

For at se flere oplysninger om din sikre forbindelse skal du åbne Chrome-udviklerværktøjslinjen. Det kan du gøre ved at trykke på F12, eller ved at højreklikke og vælge "Inspicer" nederst på listen.

Udviklerværktøjslinjen vil som standard bruge panelet "Elementer" for at se de sikkerhedsoplysninger, du skal bruge for at skifte til panelet "Sikkerhed". Hvis det ikke er umiddelbart synligt, skal du muligvis klikke på dobbeltpilikonet i panellinjen for udviklerværktøjer og derefter vælge "Sikkerhed" derfra.

Hvis du ikke kan lide, at udviklerværktøjslinjen er knyttet til højre på siden, kan du flytte den til bunden, til venstre eller flytte den ind i et separat vindue ved at klikke på ikonet med tre prikker øverst til højre i udvikleren værktøjslinjen, og vælg derefter din foretrukne mulighed fra "Dock side"-valget.

I sikkerhedspanelets oversigt er der tre sektioner med information, certifikat, forbindelse og ressourcer. Disse dækker henholdsvis detaljerne i HTTPS-certifikatet, den kryptering, der bruges til at sikre forbindelsen, og detaljer, hvis nogen ressourcer blev serveret på en usikker måde.

Certifikater

Certifikatafsnittet angiver, hvilken certifikatmyndighed der har udstedt HTTPS-certifikatet, hvis det er gyldigt og pålideligt, og giver dig mulighed for at se certifikatet. Ud over at bekræfte, at det websted, du opretter forbindelse til, drives af den person, der ejer URL'en, påvirker certifikatet ikke direkte sikkerheden af ​​din forbindelse

Tip: HTTPS-certifikater fungerer på et chain-of-trust-system. En række rodcertifikatmyndigheder har tillid til at udstede certifikater til webstedsejere, efter at de har bevist, at de ejer webstedet. Dette system er designet til at forhindre hackere i at kunne generere certifikater til websteder, de ikke ejer, da disse certifikater ikke vil have tillidskæden tilbage til en rodcertifikatautoritet.

Forbindelse

Afsnittet "Forbindelse" beskriver krypteringsprotokollen, nøgleudvekslingsalgoritmen og krypteringsalgoritmen, der bruges til at kryptere dine data. Krypteringsalgoritmen bør ideelt set sige "TLS 1.2" eller "TLS 1.3". TLS, eller Transport Level Security, er standarden til forhandling af krypteringskonfigurationer.

TLS version 1.3 og 1.2 er de nuværende standarder og anses for at være sikre. TLS 1.0 og 1.1 er begge ved at blive udfaset, da de er gamle og har nogle kendte svagheder, selvom de stadig er tilstrækkelige sikkerhedsmæssigt.

Tip: Forældet betyder, at deres brug frarådes, og at der tages skridt til at fjerne support.

Forgængerne til TLS var SSLv3 og SSLv2. Næsten ingen steder understøtter nogen af ​​disse muligheder længere, fordi de er blevet forældet på grund af at være blevet betragtet som usikre siden henholdsvis 2015 og 2011.

Den næste værdi er nøgleudvekslingsalgoritmen. Dette bruges til sikkert at forhandle den krypteringsnøgle, der skal bruges med krypteringsalgoritmen. Der er alt for mange til at nævne, men de er generelt afhængige af en nøgleaftaleprotokol kaldet "Elliptic-curve Diffe-Hellman Ephemeral" eller ECDHE. Det er ikke muligt at bestemme den aftalte krypteringsnøgle uden at bruge tredjeparts netværksovervågningssoftware og en bevidst svækket konfiguration. Eksplicit ikke at understøtte adgang til disse oplysninger i browseren betyder, at den ikke kan kompromitteres ved et uheld.

Den endelige værdi i sektionen Forbindelse er krypteringspakken, der bruges til at kryptere forbindelsen. Endnu en gang er der alt for mange til at nævne. Chiffere har generelt flerdelte navne, der kan beskrive den anvendte krypteringsalgoritme, krypteringsstyrken i bit, og hvilken tilstand der bruges.

I eksemplet med AES-128-GCM, som det ses på skærmbilledet ovenfor, er krypteringsalgoritmen AES eller Advanced Encryption Standard, styrken er 128-bit, og Galois-Counter-Mode bliver brugt.

Tip: 128 eller 256 bit er de mest almindelige niveauer af kryptografisk sikkerhed. De betyder, at der er 128 eller 256 bits tilfældighed, der udgør den krypteringsnøgle, der bruges. Det er 2^128 mulige kombinationer, eller to ganget med sig selv 128 gange. Som med alle eksponentialer bliver tallene meget store, meget hurtigt. Antallet af mulige 256-bit nøglekombinationer er nogenlunde lig med nogle lave estimater af antallet af atomer i det observerbare univers. Det er ufatteligt svært at gætte en krypteringsnøgle korrekt, selv med flere supercomputere og århundreder af tid.

Ressourcer

Ressourcesektionen viser alle sideressourcer, såsom billeder, scripts og stylesheets, der ikke blev indlæst via en sikker forbindelse. Hvis nogen ressourcer blev indlæst usikkert, vil dette afsnit fremhæve rødt og give et link til at vise det eller de specifikke elementer i netværkspanelet.

Ideelt set bør alle ressourcer indlæses sikkert, da enhver usikker ressource kan ændres af en hacker uden din viden.

Mere information

Du kan se flere oplysninger om hvert domæne og underdomæne, der blev indlæst, ved at bruge kolonnen til venstre i panelet. Disse sider viser nogenlunde samme information som oversigten, selvom certifikatgennemsigtighedsoplysninger og nogle ekstra detaljer fra certifikaterne vises.

Tip: Certifikatgennemsigtighed er en protokol, der bruges til at imødegå nogle historiske misbrug af certifikatudstedelsesprocessen. Det er nu en obligatorisk del af alle nyligt udstedte certifikater og bruges til yderligere at verificere, at certifikatet er legitimt.

Oprindelsesvisningen giver dig mulighed for at gennemse hvert af de domæner og underdomæner, der har indlæst indhold på siden, så du kan gennemgå deres specifikke sikkerhedskonfigurationer.