Kako provjeriti sigurnost HTTPS veze u Chromeu

Većina ljudi koji koriste internet već zna da ikona lokota u URL traci znači da je stranica sigurna, ali možda ne shvaćate što to točno znači ili koliko je zapravo vaša veza s tim lokotom sigurna.

Lokot je vizualni pokazatelj da je vaša veza s web-mjestom osigurana pomoću HTTPS-a. HTTPS, ili Hypertext Transfer Protocol Secure, verzija je HTTP protokola koja koristi enkripciju kako bi zaštitila vaše podatke od znatiželjnih očiju.

Šifriranje je proces šifriranja podataka šifriranjem i ključem tako da se mogu čitati samo pomoću ključa za dešifriranje. Možete ga zamisliti kao kutiju za zaključavanje, možete napisati poruku, zaključati kutiju, a onda samo netko s pravim ključem može otvoriti kutiju da pročita poruku. To štiti vaše podatke od hakera koji pokušavaju ukrasti podatke o računu.

Jedna ključna informacija koju biste trebali znati je da enkripcija i sigurnost HTTPS-a samo potvrđuju da je vaša veza s web-mjestom koju ste upisali u URL traku sigurna. To ne znači da je web-mjesto sigurno, pa čak ni da je to web-mjesto koje ste namjeravali pregledavati. Mnoga web-mjesta za krađu identiteta i zlonamjerni softver prelaze na korištenje HTTPS-a kako on postaje pristupačniji, tako da nije sigurno vjerovati bilo kojoj web-lokaciji koja koristi HTTPS.

Savjet: "phishing" web-mjesto pokušava vas prevariti da pošaljete osjetljive podatke, kao što su podaci o računu, lažiranjem legitimne stranice za prijavu. Veze na web-mjesta za krađu identiteta često se šalju putem e-pošte. Zlonamjerni softver je sveobuhvatni izraz za "zlonamjerni softver" i uključuje viruse, crve, ransomware i još mnogo toga.

Napomena: Nikada ne biste trebali unositi svoje korisničko ime i lozinku ili druge osjetljive podatke kao što su bankovni podaci putem nesigurne veze. Čak i ako web-mjesto ima lokot i HTTPS, to ne znači da i dalje ne biste trebali paziti gdje unosite svoje podatke.

Alati za razvojne programere Chromea

Da biste vidjeli više informacija o svojoj zaštićenoj vezi, morate otvoriti alatnu traku razvojnog programera Chrome. To možete učiniti pritiskom na F12 ili desnim klikom i odabirom "Inspect" na dnu popisa.

Alatna traka programera prema zadanim će postavkama postaviti ploču "Elementi", da biste vidjeli sigurnosne informacije koje trebate prijeći na ploču "Sigurnost". Ako nije odmah vidljivo, možda ćete morati kliknuti ikonu dvostruke strelice na traci ploče alata za razvojne programere, a zatim odatle odabrati "Sigurnost".

Ako vam se ne sviđa da je alatna traka programera pričvršćena s desne strane stranice, možete je premjestiti na dno, lijevo ili je premjestiti u poseban prozor klikom na ikonu s trostrukom točkom u gornjem desnom kutu programera alatnoj traci, a zatim odabirom željene opcije iz odabira "Dock side".

U pregledu sigurnosne ploče postoje tri odjeljka informacija, Certifikat, Veza i Resursi. Oni pokrivaju pojedinosti HTTPS certifikata, enkripciju koja se koristi za osiguranje veze i pojedinosti o tome jesu li se neki resursi posluživali nesigurno.

Certifikati

Odjeljak certifikata navodi koje je tijelo za izdavanje certifikata izdalo HTTPS certifikat, ako je valjan i pouzdan, te vam omogućuje pregled certifikata. Osim provjere da web mjesto na koje se povezujete vodi osoba koja posjeduje URL, certifikat ne utječe izravno na sigurnost vaše veze

Savjet: HTTPS certifikati rade na sustavu lanca povjerenja. Brojnim korijenskim certifikacijskim tijelima vjeruje se da izdaju certifikate vlasnicima web-mjesta, nakon što dokažu da su vlasnici web-mjesta. Ovaj je sustav osmišljen kako bi spriječio hakere da budu u mogućnosti generirati certifikate za web-stranice koje ne posjeduju, jer ti certifikati neće imati lanac povjerenja natrag do korijenskog tijela za izdavanje certifikata.

Povezivanje

Odjeljak "Veza" opisuje protokol šifriranja, algoritam razmjene ključeva i algoritam šifriranja koji se koristi za šifriranje vaših podataka. Algoritam šifriranja bi idealno trebao reći “TLS 1.2” ili “TLS 1.3”. TLS, ili sigurnost na razini transporta, standard je za pregovaranje o konfiguracijama enkripcije.

TLS verzije 1.3 i 1.2 su trenutni standardi i smatraju se sigurnima. TLS 1.0 i 1.1 su u procesu odbacivanja jer su stari i imaju neke poznate slabosti, iako su još uvijek adekvatne u pogledu sigurnosti.

Savjet: Zastarjelo znači da se njihova upotreba ne potiče i da se poduzimaju koraci za uklanjanje podrške.

Prethodnici TLS-a bili su SSLv3 i SSLv2. Gotovo nigdje više ne podržava niti jednu od ovih opcija, jer su zastarjele jer se smatraju nesigurnima od 2015. odnosno 2011. godine.

Sljedeća vrijednost je algoritam razmjene ključeva. Ovo se koristi za sigurno pregovaranje o ključu za šifriranje koji će se koristiti s algoritmom za šifriranje. Previše ih je za imenovati, ali oni se općenito oslanjaju na ključni protokol dogovora koji se zove “Elliptic-curve Diffe-Hellman Ephemeral” ili ECDHE. Nije moguće odrediti dogovoreni ključ za šifriranje bez korištenja softvera za nadzor mreže treće strane i namjerno oslabljene konfiguracije. Izričito ne podržava pristup ovim informacijama u pregledniku znači da se ne mogu slučajno ugroziti.

Konačna vrijednost u odjeljku Veza je skup šifri koji se koristi za šifriranje veze. Još jednom, previše ih je za imenovati. Šifre općenito imaju višedijelna imena koja mogu opisati korišteni algoritam šifriranja, snagu šifre u bitovima i koji način se koristi.

U primjeru AES-128-GCM kao što se vidi na gornjoj snimci zaslona, ​​algoritam šifriranja je AES, ili Advanced Encryption Standard, snaga je 128 bita, a koristi se Galois-Counter-Mode.

Savjet: 128 ili 256 bita najčešće su razine kriptografske sigurnosti. Oni znače da postoji 128 ili 256 bitova slučajnosti koji čine ključ za šifriranje koji se koristi. To je 2^128 mogućih kombinacija, ili dvije pomnožene same po sebi 128 puta. Kao i kod svih eksponencijala, brojevi postaju vrlo veliki, vrlo brzo. Broj mogućih 256-bitnih kombinacija tipki otprilike je jednak nekim nižim procjenama broja atoma u vidljivom svemiru. Nezamislivo je teško točno pogoditi ključ za šifriranje, čak i s više superračunala i stoljećima vremena.

Resursi

Odjeljak resursa prikazuje sve resurse stranice, kao što su slike, skripte i tablice stilova, koji nisu učitani putem sigurne veze. Ako su neki resursi učitani nesigurno, ovaj će odjeljak istaknuti crveno i pružiti vezu za prikaz određene stavke ili stavki na mrežnoj ploči.

U idealnom slučaju, svi bi se resursi trebali sigurno učitavati jer bi svaki nesiguran resurs mogao izmijeniti haker bez vašeg znanja.

Više informacija

Više informacija o svakoj domeni i poddomeni koje su učitane možete vidjeti pomoću stupca s lijeve strane ploče. Ove stranice prikazuju otprilike iste informacije kao i pregled iako su prikazane informacije o transparentnosti certifikata i neke dodatne pojedinosti iz certifikata.

Savjet: Transparentnost certifikata je protokol koji se koristi za suzbijanje nekih povijesnih zlouporaba procesa izdavanja certifikata. Sada je obvezni dio svih novoizdanih potvrda i koristi se za daljnju provjeru da je certifikat legitiman.

Izvorni prikaz omogućuje vam pregled svake od domena i poddomena koje su učitale sadržaj na stranici, tako da možete pregledati njihove specifične sigurnosne konfiguracije.