/ Новости сайта / Почему протокола HTTPS недостаточно для безопасности?
23Май HTTPS

Почему протокола HTTPS недостаточно для безопасности?

34

Известно ли Вам, что гласит первый закон экономики? Все очень просто: если блага, товара или какого-либо ресурса слишком много - цена на него стремительно снижается, а если отсутствует большие затраты на производство и закупку сырья, то цена на такой товар может упасть вплоть до нуля. Поэтому зачастую такой товар предлагает в качестве подарка, с целью повышения продажи более дорогих товаров. К чему здесь протокол HTTPS?

 

Все также просто, как и в предыдущем случае - сейчас, для того, чтобы получить зеленый замок и протокол «https» для сайта не нужно прилагать больших усилий и крупных финансовых затрат. На данный момент это все можно получить бесплатно с помощью пакетов веб-хостинга, определенными компаниями, которые выдают сертификаты в автоматическом режиме, где проверка осуществляется только на уровне домена (DV - Domain Validation) без тщательной проверки личности покупателя.

 

Если сказать проще: не важно, кто является покупателем пакета, до тех пор пока идет оплата хостинга. Таким образом, протокол «https» и зеленый замок мы можем наблюдать на множестве сайтов, полагаясь на то, что находясь на одном из них - безопасность гарантирована. Да, трафик будет зашифрованным, однако, доверие, которые мы возлагаем на сертификаты защиты - под большим сомнением и стремительно снижается.

 

HTTPS что это и с чем его «едят»?


Чтобы более подробно прояснить то, о чем мы говорим, давайте рассмотрим базовые определения протокола.

 

Протокол передачи гипертекста безопасный (HTTPS) - это вариант прикладного уровня передачи веб-данных (HTTP), где данные передаются в зашифрованном виде через соединение по протоколам SSL или TLS.

 

Secure Sockets Layer (SSL) - это протокол в компьютерной сети применяемый для защиты соединения по интернету.

 

Протокол TLS пришел на замену SSL, в то время когда он был объявлен устаревшим. По своей сути он выполняет аналогичные функции - защищает соединение между пользователем и сервером в сети.

 

Подведем итог: Протокол HTTPS использует технологию SSL или TLS для шифрования информации при передачи данных, что позволяет избежать «прослушивания» и несанкционированного доступа со стороны кибермошенников.

 

Ключевой элемент: зеленый замок в строке браузера


 

Зеленый замок означает, что трафик с сайта шифруется, жизнь прекрасна и можно спокойно попевая чай продолжать посещения данного сайта.

 

Для того, чтобы его получить (замок зеленый) и обеспечить зашифрованное соединения для своих пользователей администратор веб-сайта сделал запрос в центр сертификации, который в свою очередь выполняет одну из проверок:

  • только подтверждения домена (DV - Domain Validation);
  • на уровне домена и организации (OV - Organization Validation);
  • расширенная проверка (EV - Extendet Validation).

и, впоследствии, предоставляет протокол HTTPS.

 

Проверка. Центр сертификации. Звучит неплохо, правда? Однако, единственное, в чем мы можем быть уверены, когда видим такой замок - компьютер подключен к сайту отображаемому в адресной строке.

 

Слишком сложно и непонятно. Давайте рассмотрим на примере одной из самых популярных платежных систем, а именно «PayPal». Переходим на официальный сайт paypal.com и видим в адресной строке перед ссылкой:

HTTPS PayPal

 

Щелчок мыши на замке предоставляет нам ряд дополнительной информации о безопасном соединение:

Больше информации об SSL PayPal

 

Информация нам дает понимание того, что сертификат подлинный и на данный момент у нас обеспечено зашифрованное соединения.

 

Теперь давайте сравним этот подлинный с тем, который используется на одной из фишинговых сайтов системы PayPal:

Fishing PayPal

 

Как можно заметить - сайт имеет зеленый замок. При получении детальной информации, видим:

Let's Encryot free SSL

 

Кибермошенники использовали бесплатный сертификат от CA Let's Encrypt, который выдается в автоматизированном режиме.

 

Да, здесь достаточно легко увидеть отличие наименования сайта от подлинного из адресной строки браузера. Однако, этот адрес представлен лишь в качестве примера. Зачастую мошенники применяют тайпсквоттинг (регистрируют доменные имена, близкие по написанию к подлинным сайтам) и обнаружить их будет значительно сложнее. PayPal заботится о своих пользователях, поэтому зарегистрировала множество доменных имен схожих по написанию и поставили редиректы на официальный сайт.

 

Каждый месяц фишинговые сайты возрастают, как по количеству, так и по качеству. При этом каждый день создаются не только поддельные сайты. Каждый заинтересован в получении сертификата, поскольку это дает ряд преимуществ, каких именно и в чем отличие платных и бесплатных SSL-сертификатов можете прочитать в нашей статье.

 

Бесплатный сертификат мы можем получить с легкостью и мало вероятно, что хостинг-провайдер, который их предоставляет, имеет достаточно ресурсов для проверки каждого нового сайта. Минимальная проверка осуществляется, однако, что мешает мошенникам изменить содержание сайта после получения зеленого замка?

 

Несмотря на наличие сертификата шифрующего трафик - ввод личных данных может привести к нежелательным последствиям.

 

Сомневаться во всем и везде


Протокол HTTPS, который сейчас повсеместно, как грязь, позволяет фишерам вводиться в заблуждение потенциальных жертв. Читайте в нашей статье о том, что такое фишинг и, как от него защититься, а также при первом посещение нового для Вас сайта, где требуется вводить личные данные убедитесь:

  • В адресной строке имеется ли зеленый замок?
  • Соответствует ли ссылка в адресной строке браузера наименованию компании или организации?
  • Есть ли сертификат EV (расширенная проверка) или нет?

 

И только в том случае, когда Вы окончательно убедитесь, что сайт принадлежит требуемой компании, можете вводить персональную информацию. Только так Вы сможете обеспечить должный уровень безопасности.

Статья для Вас была полезной? Расскажите о ней в социальных сетях:

Комментарии 0

avatar
Наверх