Hogyan ellenőrizheti a HTTPS-kapcsolat biztonságát a Chrome-ban

A legtöbb internetet használó ember már tudja, hogy az URL-sávban található lakat ikon azt jelenti, hogy a webhely biztonságos, de előfordulhat, hogy nem tudja pontosan, hogy ez mit jelent, vagy hogy mennyire biztonságos a kapcsolat a lakattal.

A lakat vizuálisan jelzi, hogy a webhelyhez való csatlakozása HTTPS-en keresztül biztosított. A HTTPS vagy a Hypertext Transfer Protocol Secure a HTTP protokoll egyik változata, amely titkosítást használ, hogy megvédje adatait a kíváncsi szemektől.

A titkosítás az adatok titkosítási rejtjellel és kulccsal történő titkosításának folyamata, hogy csak a visszafejtő kulcs használatával lehessen őket olvasni. Felfoghatod úgy, mint egy zárdobozt, írhatsz üzenetet, lezárhatod a dobozt, majd csak a megfelelő kulccsal tudja kinyitni a dobozt, hogy elolvassa az üzenetet. Ez biztonságban tartja adatait a fiókadatokat ellopni próbáló hackerekkel szemben.

Az egyik legfontosabb információ, amelyet tudnia kell, hogy a HTTPS titkosítása és biztonsága csak azt igazolja, hogy az URL-sávba beírt webhelyhez való kapcsolata biztonságos. Ez nem jelenti azt, hogy a webhely biztonságos, vagy még azt sem, hogy ez az a webhely, amelyre böngészni készült. Számos adathalász és rosszindulatú szoftverrel foglalkozó webhely áttér a HTTPS használatára, amint az elérhetőbbé válik, ezért nem biztonságos megbízni bármely HTTPS-t használó webhelyen.

Tipp: Egy „adathalász” webhely egy jogos bejelentkezési oldal meghamisításával próbálja rávenni Önt, hogy bizalmas adatokat, például fiókinformációkat adjon meg. Az adathalász webhelyekre mutató hivatkozásokat gyakran e-mailben küldik el. A rosszindulatú programok a „rosszindulatú szoftverek” általános kifejezése, amely magában foglalja a vírusokat, férgeket, zsarolóprogramokat és egyebeket.

Megjegyzés: Soha ne adja meg felhasználónevét és jelszavát, vagy más bizalmas adatokat, például banki adatokat nem biztonságos kapcsolaton keresztül. Még ha egy webhely rendelkezik is lakattal és HTTPS-kapcsolattal, ez nem jelenti azt, hogy ne legyen óvatos az adatok megadásával.

Chrome fejlesztői eszközök

A biztonságos kapcsolattal kapcsolatos további információk megtekintéséhez nyissa meg a Chrome fejlesztői eszköztárát. Ezt megteheti az F12 billentyű lenyomásával, vagy a jobb gombbal kattintva, és a lista alján kiválasztja az „Inspect” (Ellenőrzés) lehetőséget.

A fejlesztői eszköztár alapértelmezés szerint az „Elemek” panelen jelenik meg, hogy megtekinthesse azokat a biztonsági információkat, amelyekre át kell váltania a „Biztonság” panelre. Ha nem látható azonnal, előfordulhat, hogy rá kell kattintania a dupla nyíl ikonra a fejlesztői eszközök panelsávjában, majd onnan válassza a „Biztonság” lehetőséget.

Ha nem tetszik, hogy a fejlesztői eszköztár az oldal jobb oldalán található, áthelyezheti alulra, balra, vagy áthelyezheti egy külön ablakba a fejlesztő jobb felső sarkában található hárompontos ikonra kattintva. eszköztárat, majd válassza ki a kívánt opciót a „Dokkolóoldal” menüből.

A biztonsági panel áttekintésében három információs rész található: Tanúsítvány, Kapcsolat és Erőforrások. Ezek lefedik a HTTPS-tanúsítvány részleteit, a kapcsolat biztosításához használt titkosítást, és részletezik, ha az erőforrásokat nem biztonságosan szolgálták ki.

Tanúsítványok

A tanúsítvány szakasz tartalmazza, hogy melyik tanúsító hatóság adta ki a HTTPS-tanúsítványt, ha az érvényes és megbízható, és lehetővé teszi a tanúsítvány megtekintését. A tanúsítvány azon túlmenően annak ellenőrzésén túl, hogy a webhelyet, amelyhez csatlakozik, az URL tulajdonosa üzemelteti, a tanúsítvány nem befolyásolja közvetlenül a kapcsolat biztonságát.

Tipp: A HTTPS-tanúsítványok bizalmi lánc rendszeren működnek. Számos gyökértanúsítvány-hatóságot bíznak meg abban, hogy tanúsítványokat állítanak ki a webhelytulajdonosok számára, miután igazolják, hogy övék a webhely. Ezt a rendszert úgy tervezték, hogy megakadályozza, hogy a hackerek tanúsítványokat állíthassanak elő olyan webhelyekhez, amelyek nem a tulajdonukban vannak, mivel ezek a tanúsítványok nem kapják vissza a bizalmi láncot a legfelső szintű tanúsító hatósághoz.

Kapcsolat

A „Kapcsolat” szakasz részletezi az adatok titkosításához használt titkosítási protokollt, kulcscsere algoritmust és titkosítási algoritmust. A titkosítási algoritmus ideális esetben „TLS 1.2” vagy „TLS 1.3” legyen. A TLS vagy Transport Level Security a titkosítási konfigurációk egyeztetésének szabványa.

A TLS 1.3 és 1.2 verziója a jelenlegi szabvány, és biztonságosnak tekinthető. A TLS 1.0 és 1.1 egyaránt elavult állapotban van, mivel régiek, és vannak ismert gyengeségeik, bár biztonsági szempontból még mindig megfelelőek.

Tipp: Az elavult azt jelenti, hogy használatukat nem javasolják, és lépéseket tesznek a támogatás megszüntetésére.

A TLS elődjei az SSLv3 és az SSLv2 voltak. Szinte sehol nem támogatja ezen opciók egyikét sem, mert 2015 és 2011 óta elavulttá váltak, mivel nem tekinthetők biztonságosnak.

A következő érték a kulcscsere algoritmus. Ez a titkosítási algoritmussal használandó titkosítási kulcs biztonságos egyeztetésére szolgál. Túl sok van, hogy megnevezzük, de általában az „Elliptic-curve Diffe-Hellman Ephemeral” vagy ECDHE-nek nevezett kulcsfontosságú megállapodási protokollra támaszkodnak. Nem lehet meghatározni a megállapodás szerinti titkosítási kulcsot harmadik féltől származó hálózatfigyelő szoftver és szándékosan meggyengített konfiguráció nélkül. Ha kifejezetten nem támogatja az adatokhoz való hozzáférést a böngészőben, az azt jelenti, hogy nem kerülhet veszélybe véletlenül.

A Kapcsolat szakasz végső értéke a kapcsolat titkosításához használt rejtjelkészlet. Ismét túl sok van ahhoz, hogy megnevezzem. A rejtjeleknek általában többrészes neveik vannak, amelyek leírhatják a használt titkosítási algoritmust, a titkosítás bitekben kifejezett erősségét és a használt módot.

A fenti képernyőképen látható AES-128-GCM példájában a titkosítási algoritmus AES vagy az Advanced Encryption Standard, erőssége 128 bit, és a Galois-Counter-Mode használatos.

Tipp: A 128 vagy 256 bit a kriptográfiai biztonság leggyakoribb szintje. Ezek azt jelentik, hogy 128 vagy 256 bit véletlenszerűség alkotja a használt titkosítási kulcsot. Ez 2^128 lehetséges kombináció, vagy kettő megszorozva önmagával 128-szor. Mint minden exponenciális esetében, a számok nagyon nagyok lesznek, nagyon gyorsan. A lehetséges 256 bites billentyűkombinációk száma nagyjából megegyezik a megfigyelhető univerzum atomjainak néhány alsó kategóriás becslésével. Elképzelhetetlenül nehéz helyesen kitalálni egy titkosítási kulcsot, még több szuperszámítógép és évszázados idő esetén is.

Erőforrások

Az erőforrások szakaszban minden olyan oldalerőforrás, például képek, szkriptek és stíluslapok láthatók, amelyek nem biztonságos kapcsolaton keresztül lettek betöltve. Ha az erőforrások nem biztonságosan lettek betöltve, ez a szakasz piros színnel jelenik meg, és hivatkozást ad az adott elem vagy elemek megjelenítéséhez a hálózati panelen.

Ideális esetben minden erőforrást biztonságosan kell betölteni, mivel a nem biztonságos erőforrásokat egy hacker módosíthatja az Ön tudta nélkül.

Több információ

A panel bal oldalán található oszlop segítségével további információkat láthat az egyes betöltött domainekről és aldomainekről. Ezek az oldalak nagyjából ugyanazokat az információkat jelenítik meg, mint az áttekintés, bár a tanúsítvány átláthatóságára vonatkozó információk és néhány további részlet a tanúsítványokból láthatók.

Tipp: A Certificate Transparency egy protokoll, amelyet a tanúsítványkibocsátási folyamattal kapcsolatos korábbi visszaélések elleni küzdelemre használnak. Mostantól minden újonnan kiállított tanúsítvány kötelező része, és a tanúsítvány jogszerűségének további ellenőrzésére szolgál.

A kiindulási nézet lehetővé teszi, hogy átnézzen minden olyan tartományt és aldomaint, amelyek tartalmat töltöttek be az oldalon, így áttekintheti a konkrét biztonsági konfigurációkat.