Hur man kontrollerar säkerheten för en HTTPS-anslutning i Chrome

De flesta som använder internet vet redan att hänglåsikonen i URL-fältet betyder att sidan är säker, men du kanske inte inser exakt vad det betyder eller hur säker din anslutning verkligen är med det hänglåset.

Hänglåset är en visuell indikation på att din anslutning till webbplatsen har säkrats med HTTPS. HTTPS, eller Hypertext Transfer Protocol Secure, är en version av HTTP-protokollet som använder kryptering för att skydda din data från nyfikna ögon.

Kryptering är en process för att kryptera data med ett krypteringschiffer och nyckel så att det bara kan läsas med hjälp av dekrypteringsnyckeln. Du kan se det som en låslåda, du kan skriva ett meddelande, låsa lådan och sedan kan bara någon med rätt nyckel öppna lådan för att läsa meddelandet. Detta skyddar din data från hackare som försöker stjäla kontouppgifter.

En viktig del av information som du bör känna till är att krypteringen och säkerheten för HTTPS endast verifierar att din anslutning till webbplatsen du skrev i URL-fältet är säker. Det innebär inte att webbplatsen är säker, eller ens att det är webbplatsen du tänkte surfa till. Många webbplatser för nätfiske och skadlig programvara går över till att använda HTTPS eftersom det blir mer tillgängligt, så det är inte säkert att bara lita på vilken webbplats som helst som använder HTTPS.

Tips: En "nätfiske"-webbplats försöker lura dig att skicka in känslig information, såsom kontoinformation, genom att fejka en legitim inloggningssida. Länkar till nätfiskesidor skickas ofta via e-post. Skadlig programvara är en sammanfattande term för "skadlig programvara" som inkluderar virus, maskar, ransomware och mer.

Obs: Du bör aldrig ange ditt användarnamn och lösenord, eller annan känslig information som bankuppgifter via en osäker anslutning. Även om en sida har hänglåset och HTTPS betyder det inte att du fortfarande inte ska vara försiktig med var du anger dina uppgifter.

Chrome Developer Tools

Om du vill se mer information om din säkrade anslutning måste du öppna verktygsfältet för Chrome-utvecklare. Du kan göra det genom att trycka på F12, eller genom att högerklicka och välja "Inspektera" längst ner i listan.

Utvecklarens verktygsfält kommer som standard till panelen "Element" för att se säkerhetsinformationen du behöver för att byta till panelen "Säkerhet". Om det inte är omedelbart synligt kan du behöva klicka på dubbelpilikonen i panelfältet för utvecklarverktyg och sedan välja "Säkerhet" därifrån.

Om du inte gillar att verktygsfältet för utvecklare är fäst till höger på sidan, kan du flytta det längst ned, till vänster eller flytta det till ett separat fönster genom att klicka på ikonen med tre punkter längst upp till höger på utvecklaren verktygsfältet och välj sedan ditt föredragna alternativ från valet "Dock sida".

I säkerhetspanelens översikt finns det tre informationssektioner, certifikat, anslutning och resurser. Dessa täcker detaljerna för HTTPS-certifikatet, krypteringen som används för att säkra anslutningen och detaljer om några resurser serverades på ett osäkert sätt.

Certifikat

Certifikatavsnittet anger vilken certifikatmyndighet som har utfärdat HTTPS-certifikatet, om det är giltigt och pålitligt, och låter dig se certifikatet. Förutom att verifiera att webbplatsen du ansluter till drivs av personen som äger webbadressen, påverkar certifikatet inte direkt säkerheten för din anslutning

Tips: HTTPS-certifikat fungerar på ett kedja av förtroende. Ett antal rotcertifikatutfärdare är betrodda att utfärda certifikat till webbplatsägare efter att de bevisat att de äger webbplatsen. Det här systemet är utformat för att förhindra hackare från att kunna generera certifikat för webbplatser de inte äger, eftersom dessa certifikat inte kommer att ha förtroendekedjan tillbaka till en rotcertifikatutfärdare.

Förbindelse

Avsnittet "Anslutning" beskriver krypteringsprotokollet, nyckelutbytesalgoritmen och krypteringsalgoritmen som används för att kryptera dina data. Krypteringsalgoritmen bör helst säga "TLS 1.2" eller "TLS 1.3". TLS, eller Transport Level Security, är standarden för att förhandla om krypteringskonfigurationer.

TLS versionerna 1.3 och 1.2 är de nuvarande standarderna och anses säkra. TLS 1.0 och 1.1 håller på att fasas ut eftersom de är gamla och har några kända svagheter, även om de fortfarande är tillräckliga säkerhetsmässigt.

Tips: Utfasad betyder att användningen avskräcks och åtgärder vidtas för att ta bort stödet.

Föregångarna till TLS var SSLv3 och SSLv2. Nästan ingenstans stöder något av dessa alternativ längre, eftersom de har fasats ut på grund av att de anses osäkra sedan 2015 respektive 2011.

Nästa värde är nyckelutbytesalgoritmen. Detta används för att säkert förhandla fram krypteringsnyckeln som ska användas med krypteringsalgoritmen. Det finns alldeles för många för att nämna, men de förlitar sig i allmänhet på ett nyckelavtalsprotokoll som kallas "Elliptic-curve Diffe-Hellman Ephemeral" eller ECDHE. Det är inte möjligt att fastställa den överenskomna krypteringsnyckeln utan att använda tredjepartsprogram för nätverksövervakning och en avsiktligt försvagad konfiguration. Att uttryckligen inte stöder åtkomst till denna information i webbläsaren betyder att den inte kan äventyras av misstag.

Det slutliga värdet i avsnittet Anslutning är den chiffersvit som används för att kryptera anslutningen. Återigen finns det alldeles för många för att nämna. Chiffer har i allmänhet flerdelade namn som kan beskriva krypteringsalgoritmen som används, krypteringsstyrkan i bitar och vilket läge som används.

I exemplet med AES-128-GCM som ses i skärmdumpen ovan är krypteringsalgoritmen AES, eller Advanced Encryption Standard, styrkan är 128-bitar och Galois-Counter-Mode används.

Tips: 128 eller 256 bitar är de vanligaste nivåerna av kryptografisk säkerhet. De betyder att det är 128 eller 256 bitar av slumpmässighet som utgör den krypteringsnyckel som används. Det är 2^128 möjliga kombinationer, eller två multiplicerat med sig själv 128 gånger. Som med alla exponentialer blir siffrorna väldigt stora, väldigt snabbt. Antalet möjliga 256-bitars tangentkombinationer är ungefär lika med några låga uppskattningar av antalet atomer i det observerbara universum. Det är ofattbart svårt att gissa en krypteringsnyckel korrekt, även med flera superdatorer och århundraden av tid.

Resurser

Resurssektionen visar alla sidresurser, som bilder, skript och stilmallar, som inte laddades över en säker anslutning. Om några resurser laddades på ett osäkert sätt kommer detta avsnitt att markera rött och tillhandahålla en länk för att visa det eller de specifika objekten i nätverkspanelen.

Helst bör alla resurser laddas säkert eftersom alla osäker resurser kan modifieras av en hackare utan din vetskap.

Mer information

Du kan se mer information om varje domän och underdomän som laddades genom att använda kolumnen till vänster i panelen. Dessa sidor visar ungefär samma information som översikten även om certifikattransparensinformation och några extra detaljer från certifikaten visas.

Tips: Certifikattransparens är ett protokoll som används för att motverka vissa historiska missbruk av certifikatutfärdandeprocessen. Det är nu en obligatorisk del av alla nyligen utfärdade certifikat och används för att ytterligare verifiera att certifikatet är legitimt.

Ursprungsvyn låter dig titta igenom var och en av de domäner och underdomäner som laddade innehåll på sidan, så att du kan granska deras specifika säkerhetskonfigurationer.