Mokslo ir technologijų pasaulis

Viskas, ką verta žinoti apie HTTPS protokolą: nuo neabejotinų privalumų iki erzinančių trūkumų (Video)
Publikuota: 2016-06-13

Kas­dien ieš­ko­me in­for­ma­ci­jos, ren­gia­me do­ku­men­tus, nau­do­ja­mės ban­kais, ben­drau­ja­me, pra­mo­gau­ja­me… Žmo­nės tai da­ro jau ne vie­ną šimt­me­tį. Vis dėlto, per pas­ta­ruo­sius ke­le­tą de­šimt­me­čių šių veik­lų at­li­ki­mo ­bū­das pa­si­kei­tė kar­di­na­liai. Ir la­biau­siai už tai rei­kė­tų dė­ko­ti Tim Berners-Lee. Šis ang­lų moks­li­nin­kas dar 1989 me­tais pa­siū­lė pa­sau­li­nio tink­lo WWW (angl. World Wide Web) plėt­ros idė­ją ir vi­zi­ją.

Šis sumanymas kartu su HTTP (angl. HyperText Transfer Protocol) protokolu tapo itin svarbiu šiuolaikinio pasaulinio interneto tinklo kūrimo elementu. Būtent jie ir pradėjo pokyčius, per kitus 27 metus nuolatos skatinusius visuomenę keltis į skaitmeninę erdvę. Atrodo, šį pasiūlymą priėmėme, kadangi kompiuterių ir interneto tinklais kasmet persiunčiame vis daugiau duomenų.


HTTP nedaug sudėtingesnis už mėsainio užsakymą. Privatumo irgi nedaug

Šie informacijos mainų pobūdžio pokyčiai, žinoma, kelia naujus iššūkius tinklų inžinieriams. Ir didžioji dalis tų iššūkių atsiranda dėl sparčiai augančio poreikio keistis privačia bei itin suasmeninta informacija. Be abejonės, reikalingi saugos mechanizmai buvo apgalvoti ir sukurti dar tuomet, kai kibernetinio saugumo problemos nebuvo tokios aktualios. Tačiau vien saugumo protokolų sumanytojai saugumo internete užtikrinti tikrai negali – jiems reikia visų mūsų pagalbos.

Šiuo metu įvairias paslaugas, žiniasklaidos tinklalapius, elektroninį paštą ar socialinius tinklus dažniausiai pasiekiame interneto naršykle. Jos prie tinklalapių gali jungtis tiek saugiai, naudodamos HTTPS (angl. Hyper Text Transfer Protocol Secure ) protokolą, tiek ir seniau sukurtą HTTP protokolą, kuriame saugumo mechanizmų, deja, nėra. HTTPS naudoti kiekviename žingsnyje kol kas tikrai nebūtina, tačiau kada HTTP protokolo reikėtų vengti, taip pat vertėtų suprasti.

HTTP protokolo naudojimo pavojai

Įvairius techninius niuansus palikus nuošalyje, HTTP protokolą galima traktuoti tiesiog kaip tam tikrą taisyklių rinkinį. Remiantis šiuo standartizuotu taisyklių rinkiniu, internetu galima persiųsti ne tik tekstą, bet ir grafinį turinį, vaizdo įrašus, garsą bei kitą skaitmeninę informaciją.

Šiuolaikinės interneto naršyklės specialios metodikos identifikuoti HTTP protokolo susijungimui nenumato. Vis dėlto čia svarbu suprasti, kad bet kuri nuoroda internete prasidedanti prierašu http:// yra aiški žyma, kad bet kokiai informacijai parsisiųsti bus naudojamas HTTP protokolas. Šiuo metu dažniausiai tokių nuorodų netrūksta piktavalių (neretai apsimetančių draugais) siunčiamuose elektroniniuose laiškuose.

HTTP protokolas nesuteikia galimybės įvertinti susijungimo saugumą ir informacijos mainai vyksta atviru tekstu

Jungiantis prie internetinio tinklalapio HTTP protokolu, interneto naršyklei tereikia išsiaiškinti serverio IP adresą, kuriame atitinkamas vartotojo pareikalautas tinklalapis yra talpinamas. Tačiau tokie informacijos mainai su nutolusiu serveriu vartotojui nesuteikia jokio grįžtamojo ryšio, kuriuo būtų galima įvertinti susijungimo saugumą. Tad, pirma, vartotojas negali būti tikras, kad pateko į tikrąjį tinklalapį. Antra, kiekvienas informacijos apsikeitimo ciklas su serveriu vyksta naudojant grynąjį tekstą (angl. plain text ).

Toks HTTP protokolo veikimo principas, be abejonės, turi saugumo spragų. Ir per šias spragas piktavaliai gan paprastai gali pasisavinti trečiųjų šalių konfidencialius duomenis. Jeigu pirmuoju minėtu būdu savo asmeninę informaciją internautas piktavaliui gali perduoti tiesiog ją pats suvesdamas tinklalapyje, tai antruoju atveju konfidenciali informacija gali būti pasisavinta, pavyzdžiui, jungiantis prie interneto tinklo viešose vietose.

Tai puikiai paaiškina, kodėl bankai ar bet kuri kita asmeninius konfidencialius duomenis administruojanti bendrovė primygtinai reikalauja neatidarinėti elektroniniuose laiškuose siųstų internetinių nuorodų. Nors siuntėjas bei jo laiške pateikiama informacija atrodo labai įtikinamai, tačiau dažniausiai tai tiesiog būna piktavalio inicijuota fišingo (angl. phishing ) ataka.

Kaip įtikinamai puslapis beatrodytų, jo tikrumas be saugaus ryšio negali būti užtikrintas

Jos nukreipia internautą į tinklalapį, kuris iš pažiūros atrodo lygiai taip pat kaip ir tikrasis banko ar kokios kitos asmeninius duomenis naudojančios įstaigos tinklalapis. Vis dėlto, jame suvedus savo asmeninius duomenis, prie sistemos prisijungti nepavyks. Po kelių įtikinamų klaidos pranešimų, savo duomenis suvedęs vartotojas tiesiog nuspręs prie sistemos pabandyti prisijungti vėliau. Tačiau blogiausia, kad gavėją, t. y. piktavalį, šių bandymų metu suvesta konfidenciali informacija pasieks.

Kadangi HTTP protokolas nenaudoja jokių šifravimo mechanizmų, prisijungimo slaptažodžius piktavalis net ir be fišingo atakos gali gauti, tiesiog prisijungdamas prie to paties tinklo. Būtent taip programišiai gali nesunkiai peržiūrėti interneto tinklu iki serverių keliaujančius konfidencialius duomenis. Kitaip sakant, net jeigu vedamas slaptažodis kompiuterio ekrane nerodomas, tai nereiškia, kad jo negali pamatyti bet kuris kompiuterių tinklo dalyvis.

Saugos problemų sprendimas: HTTPS protokolas

Vis dažniau kalbama, kad HTTPS saugos mechanizmai šiuolaikiniams kibernetiniams nusikaltėliams nėra neįveikiami. Tačiau praktika rodo, kad kol kas išgauti konfidencialią informaciją, pasinaudojant HTTPS protokolo netobulumu, realaus pagrindo nėra. Tiesiog tai per daug pastangų reikalaujantis procesas, todėl piktavaliams kur kas racionaliau pasitelkti, pavyzdžiui, socialinę inžineriją.

HTTPS protokolo paskirtis tokia pati kaip ir HTTP, bet HTTPS dar pasirūpina ir persiunčiamų duomenų šifravimu bei dešifravimu

Iš pažiūros, HTTPS protokolo paskirtis tokia pati kaip ir HTTP. Vis dėlto, be įprasto informacijos persiuntimo, HTTPS dar pasirūpina ir persiunčiamų duomenų šifravimu bei dešifravimu. Tai gali būti realizuojama, su HTTPS naudojant kriptografinį SSL (angl. Secure Sockets Layer ) arba TLS (angl. Transport Layer Security ) protokolą. Nors techniniu požiūriu dabar saugus ryšys beveik visada būna sudaromas per TLS, tačiau visuomenėje dažniau naudojamas SSL terminas. Siekiant didesnio aiškumo, jis kartais pavadinamas SSL/TLS.

Kad ir koks būtų HTTPS kriptografinis protokolas, duomenų autentiškumui, integralumui, saugumui bei konfidencialumui garantuoti vis tiek naudojama viešojo rakto infrastruktūra PKI (angl. Public Key Infrastructure) bei skaitmeniniai sertifikatai. Būtent taip užtikrinamas siunčiamos informacijos šifravimas, todėl pašaliniam stebėtojui ji atrodo kaip beprasmiškų informacijos bitų kratinys. Tačiau galutinis šių duomenų gavėjas, naudodamas specialų dešifravimo raktą, pirminio siuntėjo informaciją mato tinkamai.

Šių HTTPS protokolo saugos mechanizmų visiškai pakanka anksčiau aptartų HTTP protokolo saugumo problemų sprendimui. Kitaip sakant, HTTPS padeda įsitikinti serverio, su kuriuo ruošiamasi bendrauti, tikrumu, ir garantuoja, kad siunčiamą informaciją supras tik siuntėjas ir gavėjas.

Kaip įsitikinti, kad HTTPS sujungimas saugus?




Gali atrodyti, kad naršymui internete naudojant HTTPS protokolą, šis automatiškai užtikrina konfidencialių duomenų saugumą. Deja, kad ir kaip visi norėtų sukurti tokį kibernetinio saugumo modelį, kol kas tokia siekiamybė neįgyvendinama. Ir taip yra dėl to, nes informacijos saugą telekomunikaciniuose ir kompiuteriniuose tinkluose taip pat lemia ir žmogiškasis faktorius. Būtent dėl to kiekvienam internautui pravartu susipažinti su svarbiausiais HTTPS susijungimo autentiškumo ir saugumo rodikliais.

Kaip ir HTTP protokolo atveju, tai taip ir naudojant HTTPS, susijungimo tipą galima nustatyti pagal prierašą internetinės nuorodos pradžioje. Susijungimui naudojant HTTPS protokolą, nuorodos pradžioje visuomet būna naudojama papildoma https:// žyma. Jeigu HTTP protokolo atveju prierašas http:// dažniausiai neatvaizduojamas, tai naudojant HTTPS protokolą papildoma žyma https:// būna matoma praktiškai visose populiariausiose interneto naršyklėse, o esant saugiam susijungimui, ji dar netgi būna pažymima žalia spalva.

Atidžiau pasižiūrėjus, prie konkrečios nuorodos interneto naršyklėje taip pat galima pastebėti ir spynos piktogramą. Ši taip pat yra vienas iš skiriamųjų HTTPS protokolo naudojimo ženklų. Kartais šalia spynos piktogramos gali būti rašomas ir bendrovės ar įstaigos, prie kurios tinklalapio jungiamasi, pavadinimas.

Tai yra aiškios nuorodos, kad susijungimas HTTPS protokolu yra saugus ir vykdomas su patikimu serveriu. Šį grįžtamąjį ryšį apie tinkamą susijungimą vartotojui įmanoma pateikti, naudojant SSL skaitmeninius sertifikatus. Sertifikatai tinklalapiams prie kurių nuorodos rašomas ir jau minėtas įmonės ar bendrovės pavadinimas, išduodami, taikant dar griežtesnius reikalavimus. Šiuos EV (angl. Extended Validation) SSL tipo sertifikatus, siekdami pagrįsti savo tapatybę, labai dažnai naudoja bankams priklausantys tinklalapiai.

Prieš pradedant susijungimą HTTPS protokolu, serveris užklausą pateikusiam vartotojui visų pirma atsiunčia savo tapatybę patvirtinantį sertifikatą. Jame būna nurodomas sertifikato savininkas, jo galiojimo periodas, jį išdavusios institucijos pavadinimas bei kita svarbi informacija. Jeigu interneto naršyklė nustato, kad apie atitinkamą SSL sertifikatą savo duomenų bazėje ji neturi jokios informacijos ar šie duomenys nesutampa, toks HTTPS susijungimas iš karto bus interpretuojamas kaip nesaugus.

Apie tai interneto naršyklė vartotoją informuoja raudonai perbraukdama https:// užrašą. Be to, vartotojas tokiu atveju apie potencialų saugos trūkumo pavojų taip pat būna pakartotinai informuojamas papildomu pranešimu monitoriaus ekrane. Kitaip sakant, prieš patekdamas į tokį puslapį, jis privalo patvirtinti savo pasirinkimą, kadangi kitu atveju interneto naršyklė tinklalapio su netinkamu SSL sertifikatu tiesiog neįkels.

Toks netinkamo sertifikato ignoravimas gali padėti užkirsti kelią piktavalio inicijuojamai atakai. Vis dėlto Lietuvoje kartais gerai žinomos įmonės naudoja nuosavus SSL sertifikatus, kurie viešo pripažinimo internetinėje erdvėje, deja, neturi. Tokiu atveju tiesiog reikėtų sukurti saugumo išimtį ir toliau naudotis atitinkamu tinklalapiu, tačiau čia svarbu suprasti, kad šiuo atveju HTTPS protokolo sauga jau nėra tokia patikima. Kitaip sakant, potenciali rizika vietoje įmonės tikrojo SSL sertifikato kada nors parsisiųsti programišiaus pakištą sertifikatą egzistuoja praktiškai kiekvienos komunikacijos su serveriu metu.

Kaip elgtis HTTP tinklalapiuose, kurie turi vartotojų prisijungimo zoną

Kol kas prisijungimas prie visų tinklalapių naudojant tik HTTPS protokolą tikrai nėra būtinas. Pavyzdžiui, kartais HTTP protokolą yra parankiau naudoti dėl spartos, kadangi HTTPS kriptografiniai mechanizmai papildomą apkrovą sukuria ne tik serveriui, bet ir vartotojui. Be to, reikia nepamiršti, kad siekiant kontroliuoti išduodamus SSL sertifikatus, jie yra mokami. Tai puiki bereikšmių skaitmeninių sertifikatų išdavimo ribojimo priemonė, tačiau kartais tai gali tapti pagrindine priežastimi, kodėl pelno nenešantys/nesiekiantys tinklalapiai HTTPS protokolo naudoti nesiryžta.

Trumpai tariant, HTTPS protokolas nebūtinas, kai interneto puslapį galima naudoti, neprisijungus prie paskyros. Tačiau vis daugiau tinklalapių personalines paskyras turi, bet kol kas HTTPS protokolo vis tiek nenaudoja. Tas galioja net ir įprastiems žiniasklaidos informacinėms svetainėms, vis dažniau siūlančioms personalizuotą vartotojo zoną ar netgi mokamas paslaugas.

Kadangi dauguma vartotojų įpratę visur naudoti tuos pačius prisijungimo duomenis, šiuo atveju kur kas racionaliau HTTP tinklalapiams rinktis ne tik kitą slaptažodį, bet taip pat ir kitą prisijungimo vardą. Taip elgdamasis, vartotojas akivaizdžiai vertina savo paties saugumą, kadangi programišius, išgavęs tokius prisijungimo duomenis, jų negalės panaudoti bandydamas prisijungti, pavyzdžiui, prie e. pašto ar kitų, kur kas privatesnių paslaugų.

J. Bunevičius