HTTP Secure (HTTPS)

Když prohlížíme web, kdo může vidět, co čteme? Kdo může vidět text, který napíšeme do formulářů?

Se standardním HTTP k tomu má přístup mnoho lidí: útočníci zachytávající pakety, poskytovatelé internetových služeb monitorují provoz, vládní agentury napojené na optické kabely, které tvoří páteř internetu. Pomocí známých vykořisťovacích technik si mohou přečíst obsah každé webové stránky a dokonce jej nahradit svým vlastním obsahem.

A to je důvod toho, proč webové stránky stále častěji používají HTTPS (Hypertext Transfer Protocol Secure) pro ochranu soukromí svých uživatelů a zabránění nedovoleným zásahům. HTTPS je také znám jako HTTP over TLS, protože je implementován šifrováním HTTP požadavků a odpovědí pomocí protokolu TLS.

Připojení HTTPS začíná s URL v adresním řádku. Standardní HTTP připojení mají URL začínající s "http://". Zabezpečené HTTP připojení mají URL začínající s "https://".

⬆ Podívej se teď na adresní řádek. Uvidíš adresu URL, která začíná s "https://www.khanacademy.org/". Pokud začíná s "khanacademy.org/", zkus na adresní řádek kliknout dvakrát za sebou a zobraz si tak celou adresu URL.

Většina uživatelů do řádku zadá samozřejmě pouze doménu jako "khanacademy.org". Zběhlejší uživatelé do řádku možná napíšou i URL jako "http://khanacademy.org". Pokud webová stránka podporuje HTTPS a chce se ujistit, že všichni její uživatelé jsou připojeni k zabezpečenému připojení, měla by všechny požadavky přesměrovat na HTTPS verzi svých stránek.

🔍 Zkus do nové karty zadat několik URL tvých oblíbených stránek a po načtení webové stránky zkontroluj konečnou URL adresu v adresním řádku. Byla některá z nich přesměrována na HTTPS? Používá některá z nich HTTP a měla by používat raději HTTPS?

Když prohlížeč načítá URL, která začíná s "https", zahájí proces nastavení bezpečného připojení přes TLS. (Potřebuješ si proces připomenout? Přečti si náš článek o TLS .)

Na počátku tohoto procesu musí prohlížeč ověřit digitální certifikát domény. Existuje mnoho způsobů, jak může být certifikát neplatný, přičemž prohlížeče často o certifikátu zobrazí chybová hlášení.

Zde je ukázka, jak to vypadá, když Chrome zjistí, že byl certifikát vydaný nedůvěryhodnou certifikační autoritou:

Pokud je certifikát platný a vše ostatní v nastavení TLS probíhá hladce, většina prohlížečů zobrazí v adresním řádku zámek. Tento zámek značí zabezpečené připojení přes HTTPS.

Zde je ikona zámku pro Firefox:

Kliknutím na tuto ikonu zámku získáš další doplňující informace o bezpečnosti webu:

Připojení HTTPS zajišťuje, že pouze prohlížeč a zabezpečená doména uvidí data v HTTP požadavcích a odpovědích. Přihlížející stále vidí, že určitá IP adresa komunikuje s jinou doménou/IP adresou a může vidět, jak dlouho toto připojení trvá. Tito přihlížející však nevidí obsah komunikace, který zahrnuje celou cestu URL, HTML webové stránky a jakýkoli text odeslaný ve formulářích. V tomto momentě může přihlížející vědět, že se nacházíš na khanacademy.org, ale neví, že čteš článek o HTTPS.

HTTPS také zabraňuje neoprávněnému přístupu k obsahu webových stránek. Pokud je webová stránka zabezpečena přes standardní HTTP připojení, mohou být pakety zachyceny a jejich obsah nahrazen. Pokud útočník nebo dokonce vládní agentura zachytí tvé návštěvy na zpravodajskou stránku, mohou ti snadno předložit falešné zprávy. TLS obsahuje mechanismus pro detekci změn paketů, takže připojení HTTPS jsou proti neoprávněnému zásahu odolná.

Mnoho organizací se domnívá, že by každá webová stránka měla kvůli obrovským výhodám zabezpečit všechna připojení přes HTTPS. K únoru 2019 používá přibližně polovina prvního milionu nejpoužívanějších webových stránek HTTPS ve výchozím nastavení. Dosáhne tato hranice někdy 100%? Můžeš nám k tomu pomoci tím, že požádáš tvé oblíbené webové stránky, aby používaly HTTPS, anebo tím, že se staneš webovým vývojářem zběhlým v bezpečnosti.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Máš k tomuto tématu nějaké dotazy? Rádi ti je zodpovíme — zeptej se v sekci pro dotazy níže!