что это такое, как включить в Одноклассниках?
Используя Mozilla Firefox в качестве основного браузера, пользователям на глаза может попасться иконка замка зеленого цвета. Нажав на нее, можно увидеть надпись: «Защищенное соединение». В остальных браузерах эта информация для одних и тех же сайтов тоже присутствует, но называется по-другому: «Безопасное подключение», «Соединение защищено». В статье вы узнаете, что это такое и что значит для вас, как для пользователя.
Особенности протокола безопасности
Итак, что такое защищенное соединение или https, например, в «Одноклассниках» или любом другом сайте? Чтобы можно было передавать данные по сети, придумано и внедрено множество протоколов. Основным, через которые работали и работают сейчас сайты, является http. Придуман он более 20 лет назад, когда компьютеры и инфраструктура сети не позволяла обрабатывать и передавать большие объемы данных. Обмен информации между компьютером пользователя и сервером происходил без шифрования, потому как оно требовало дополнительных вычислительных мощностей и увеличивало размер передаваемого и принимаемого трафика.
Получается, что на каждом участке, сетевом узле, через который проходил незашифрованный трафик, был риск перехвата и чтения ваших данных злоумышленником. Если там стандартная информация о вашем IP-адресе и посылаемый запрос на открытие страницы, то страшного ничего в этом нет. Дело принимало куда более рисковый оборот, если совершается платеж, и серверу передаются данные кредитной карты (номер, дата, CVV2).
Когда период цифровых расчетов достиг популярности, все помешались на безопасности. В конечном счете был разработан протокол https. Последняя буква S (Security) означает «безопасность».
В нем используется шифрование данных, которыми обменивается сервер и браузер пользователя. Так, защищенное соединение позволяет защитить информацию о кредитках, паролях, адресах электронной почты и прочих сведениях. Даже если злоумышленник будет «прослушивать» канал, он не сможет распознать конфиденциальные данные пользователя.
Установка защищенного соединения
Протокол https использует трехуровневую защиту:
- Аутентификация – защищает пользователя от перенаправления на другой сайт или веб-ресурс, если вдруг посылаемые пакеты данных были перехвачены злоумышленниками. Этот параметр дает 100% гарантию попадания на тот сайт, по адресу которого вы перешли.
- Сохранность данных – https фиксирует малейшие изменения на сайте. Если же что-то пошло не так, он выдает информацию «Ваше подключение не защищено».
- Шифрование – перед загрузкой страницы с протоколом https происходит обмен ключом шифрования между сайтом и браузером. Дальнейшая информация «гуляет» в сети в зашифрованном виде и только «двое с ключами» имеют к ней доступ.
После перехода на сайт и успешной установки безопасного соединения каждый браузер извещает об этом иконкой в виде замкнутого замка.
Если же вы попали на сайт, работающий через http-протокол, браузер уведомит, что соединение не защищено. Тогда как же включить безопасное соединение?
Включение https
Дело в том, что от пользователя ничего не зависит. Сайт начинает работать через https после того, как на сервере к доменному имени будет подключен SSL-сертификат. SSL формирует уникальную подпись сайта, которая защищает соединение. Если SSL нет, то и https тоже нет. Это две неотъемлемые составляющие в защите веб-пространства.
Про установку и настройку SSL-сертификата рассказывается в следующем видео:
Защищенное соединение в Одноклассниках
Множество площадок с миллионной аудиторией еще в 2016 году перешли на https. «Одноклассники» не стали исключением. Этот протокол позволяет:
- Защитить передачу паролей при входе в собственный профиль, обезопасив пользователя от взлома.
- Немного ускорить загрузку данных, потому как http трафик не анализируется многочисленными посредниками на стороне провайдера.
Еще в настройках социальной сети вы можете установить параметр «Всегда использовать защищенное соединение», позволяющий перенаправлять на https даже в том случае, когда в адресной строке прописывается http://ok.ru.
О том, как включить безопасное соединение Вконтакте, рассказывается в следующем видео:
Заключение
Большая часть активных сайтов использует https протоколы для безопасности пользователей. Естественно, не обошлось и без другой стороны медали. Многие сайты вынуждены перейти на защищенный протокол из-за давления поисковых систем. Например, сайт без https обозначается браузером как «Незащищенное соединение» и может потерять позиции в поисковой выдаче, потому как поисковик обозначил его главным фактором ранжирования сайта.
Https сделает Одноклассники еще безопаснее
Подписаться на новости
Безопасность пользователей — ключевой вопрос для всех интернет-компаний. Одноклассники, безусловно, также обеспокоены сохранением данных и стремятся быть надежной компанией не просто в глазах пользователей, но и на деле. Уже сейчас мы используем множество инструментов для защиты данных, и следующий шаг — это протокол https. Что это такое? HTTPS — это расширение протокола HTTP, поддерживающее шифрование. Простыми словами, это инструмент для защиты от атак, связанных с перехватом данных в во время интернет-соединения.
Какие плюсы для пользователя
Если пользователь заходит в Одноклассники без https, то все данные, которыми он обменивается с ОК, передаются в виде открытого текста и могут быть прочитаны и изменены любым участником процесса передачи данных. Типичные примеры подслушивающих — злодей, подключившийся в ту же публичную сеть Wi-Fi, или недобросовестные операторы связи. Без использования https злоумышленники могут получить доступ к личным данным пользователя или даже захватить его аккаунт.
Мы знаем, что в мировой практике были случаи попыток операторов дописать что-то в контент соцсетей, из-за такого вмешательства пользователь видел в браузере не совсем то, что транслировал разработчик. Однако при передаче по https данные шифруются, и их могут прочитать или изменить только пользователи.
Почему https важен для Одноклассников
Помимо заботы о пользователе, современные браузеры показывают предупреждения об опасности на сайтах без https. Конечно же, мы не могли себе позволить внезапно стать компанией, угрожающей безопасности пользователей, поэтому используем все современные технологии защиты. Кроме того, при передаче данных по https есть вероятность получить бонус по скорости, поскольку трафик не анализируется многочисленными посредниками на стороне операторов связи.
К 2016 практически все крупные интернет-ресурсы либо перешли на https, либо находятся в процессе — по сути, это уже отраслевой стандарт для сайтов, которые каким-либо образом работают с личными данными пользователей. Одноклассники долго шли к переходу, поскольку объём данных у соцсети достаточно большой, чтобы осуществлять серьёзные изменения мгновенно. Однако это случились, и теперь пользователи могут быть уверенны, что их данные в безопасности.
Сейчас все пользователи, вошедшие в свой аккаунт на Одноклассниках, автоматически перенаправляются на https. Это можно проверить, обратив внимание на адресную строку браузера: перед адресом сайта будет замок и известные буквы https. Это значит, что соединение защищено. Кроме этого, каждый пользователь может в настройках указать, чтобы при соединении всегда использовался https.
«Как сделать защищенное соединение для сайта?» – Яндекс.Знатоки
Сайты, работающие на http-протоколе, сохраняющие данные о платежных картах, пароли пользователей, помечаются как «небезопасные». Рядом с адресом сайта появляется предупреждающий восклицательный знак в красном треугольнике.
Для обеспечения необходимых мер безопасности были разработаны криптографические протоколы SSL и TLS, которые используются в https-соединениях.
Рекомендация: для переезда выбрать период, в который происходит малая активность на сайте, т.к. возможно снижение трафика в первые недели после перевода.
Пошаговая инструкция:
1. Cоздайте почтовый ящик вида admin@названиемагазина.by/ru/com
2. Проверьте, есть ли на сайте программный код, виджеты, иллюстрации, которые загружаются со сторонних сайтов.
Важно: все данные должны грузиться с вашего сайта.
Исключение — доверенные домены Google Analytics, Яндекс Метрика, Вконтакте, Facebook.
3. Сделайте все внутренние ссылки относительными
Например, абсолютная ссылка <a href=»http://www.domain.by/uslovija_dostavki/»> должна стать относительной <a href=»/uslovija_dostavki/»>, т.е. уберите протокол и домен. Нужно для корректной работы сайта на http- и https-протоколах.
4. Измените внешние ссылки на ссылки, доступные по https-протоколу
Например, <a href=»http://…»> сделать <a href=»https://…»>. Или вообще опустите протокол <a href=»//…»>.
5. Установите SSL-сертификат и проверьте корректность его установки https://www.ssllabs.com/ssltest/
6. Сгенерируйте карту сайта sitemap.xml c адресами страниц, доступными по https-протоколу.
7. Измените файл robots.txt
Он должен быть одинаков для обеих версий сайта: http и https.
8. Добавьте сайт, доступный по https-протоколу, в панель Яндекс Вебмастер
Для версии сайта, доступной по протоколу http, в разделе «Настройка индексирования» – «Переезд сайта» нужно добавить https-протокол. Если сайты на http и https были зеркалами ранее, а главным зеркалом была http-версия, то нужно внести изменения в разделе «Настройки индексирования» — «Главное зеркало». Процедура может занять около 1-3 недель.
9. Добавьте новый сайт, доступный по протоколу https, в панель Google Search Console.
10. Дождитесь «склейки» доменов в панели Яндекс Вебмастер.
11. Обновите URL-адрес сайта в системах аналитики.
12. Для версии сайта, доступной по протоколу https, добавьте адреса самых важных и трафиковых страниц вручную для быстрой переиндексации в панелях Яндекс Вебмастер («Инструменты» > «Переобход страниц») и Google Search Console («Сканирование» > «Просмотреть как Googlebot»).
13. Настройте 301 редирект с http-страниц на https-страницы сайта.
14. Добавьте мета-тег «referrer» на все страницы для отслеживания реферальных переходов на сайт.
<meta name=»referrer» content=»origin»>
15. Проверьте в Яндекс Вебмастер и Google Search Console правильность присвоения региона и добавление обновленного файла sitemap.xml.
16. Обновите адреса ссылок на внешних ресурсах: Яндекс Справочник, Яндекс Каталог, Google Business, социальные сети.
17. Обновите адреса страниц в рекламных кампаниях: контекстная, таргетированная, медийная реклама.
18. После внесения всех изменений отслеживайте правильный сбор статистики в системах аналитики, количество страниц в индексе в панелях Яндекс Вебмастер и Google Search Console, позиции важных и наиболее трафиковых страниц.
Как установить и настроить протокол HTTPS на сайте
Мы увеличиваем посещаемость и позиции в выдаче. Вы получаете продажи и платите только за реальный результат, только за целевые переходы из поисковых систем
Получи нашу книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».
Подпишись на рассылку и получи книгу в подарок!
Мир помешался на интернет-безопасности. Если вы в тренде и переписываетесь исключительно в «Телеграме», то почитайте про то, как установить на сайт протокол защищенного соединения HTTPS. Он пригодится в любом случае, а если вы интернет-магазин, то без него вообще нельзя будет обойтись. Попутно расскжем про сертификаты SSL: что это такое и для чего они нужны.
Что такое HTTPS
Это протокол защищенного соединения. Он шифрует информацию, которой обменивается сервер и браузер пользователя – это помогает защитить данные о паролях, номерах кредиток и адресах электронной почты. Использование HTTPS сильно повышает безопасность сайта и делает его немного привлекательнее в глазах поисковых систем – Google ранжирует защищенные сайты выше, чем незащищенные. Чтобы включить протокол HTTPS на своем сайте, нужно сперва установить на сервере SSL-сертификат.
Для чего нужен сертификат SSL
Он формирует уникальную цифровую подпись сайта, которая и помогает защитить соединение. Без сертификата SSL получить протокол HTTPS не получится, как ни старайся. В нем содержится:
- домен сайта;
- полное юридическое название компании-владельца;
- физический адрес компании;
- срок действия сертификата;
- реквизиты разработчика SSL.
Сертификат понадобится и для подключения любой платежной системы, например «Яндекс.Денег». Логика простая – никто не позволит вам рисковать чужими деньгами.
Как выбрать SSL-сертификат
Они делятся на два типа, в зависимости от степени защиты и верификации.
Domain Validation SSL
Самый простой вариант. Заработает после того, как вы подвтердите владение доменом. Сделать это можно тремя способами:
- Через E-mail. Вам на почту придет письмо с инструкцией по верификации. В качестве адреса отправки выбирается либо почта из Whois домена, либо ящики админа или вебмастера.
- Через запись в DNS. Если у вас настроен сервер электронной почты, создайте специальную запись в DNS. По ней система и подтвердит, что вы действительно владелец сайта. Метод автоматизирован и подходит тем, у кого почта Whois скрыта в настройках.
- Через хэш-файл. Разместите специальный .txt файл у себя на сервере, чтобы центр сертификации смог установить его наличие.
Такая верификация подойдет, если у вас личный блог или небольшой офлайновый бизнес, потому что она не позволяет защищать субдомены и проводить финансовые операции. Плюс, для подтверждения чистоты домена и ваших помыслов не требуется делать ничего сложного, а готовый сертификат делается быстро.
Business Validation
Этот вид сертификата SSL надежней, потому что вы подтверждаете факт связи компании с сайтом. Для этого нужно отправить в верификационный центр несколько документов и принять звонок на корпоративный номер. Business Validation-сертификаты делятся на 3 вида:
- Extended Validation SSL. Это сертификаты с расширенной проверкой. Они нужны всем, кто работает с большим объемом денег: банкам, крупным интернет-магазинам, финансовым компаниям, платежным системам.
- Wildcard SSL. Такой сертификат защищает и сам сайт, и его поддомены. Причем их может быть любое количество, а располагаться они могут на разных серверах. Обязателен, если вы используете поддомены с разной региональной привязкой или разными проектами.
- SAN SSl. Главное преимущество этого типа сертификата – поддержка альтернативных доменных имен: и внешних, и внутренних.
Можно ли установать на свой сайт бесплатный SSL-сертификат?
Да. Большинство таких продуктов платные, но есть и варианты, за которые не придется отдавать деньги. Это базовые сертификаты с валидацией по домену. Они не позволят прикрутить к ресурсу онлайн-кассу, но защитить соединение пользователя с сервером смогут. Такие SSL подойдут небольшим информационным сайтам или офлайн-бизнесам. Пример – базовый сертификат StartSSL.
Установка сертификата SSL
Сперва нужно сгенерировать запрос CSR на получение сертификата. В нем содержится вся информация о хозяине домена и открытый ключ. Большинство поставщиков SSL позволяют сделать это в процессе заказа сертификата, но сгенерировать запрос можно и на стороне веб-сервера.
В процессе генерации ключа CSR нужно указать:
- Имя сервера: «site.com» или «*.site.com», если получаете WIldcard сертификат. Звездочка означает любое количество любых символов перед точкой.
- Код страны: RU, UA, KZ и так далее.
- Область, например, Saratov Region.
- Город.
- Полное название организации или имя владельца сайта.
Запрос CSR отправляется в центр верификации. На выходе вы получаете сертификат SSL и файл с приватным ключом, который нельзя терять и выкладывать в открытый доступ.
После этого нужно установить сертификат на веб-сервер. Рассмотрим случаи с Apache и nginx.
Apache
Чтобы это сделать, нужно загрузить на сервер все сертификаты: и основные, и промежуточные. Первым делом нужно последний в директорию /usr/local/ssl/crt (используется по умолчанию, в вашем случае может отличаться). В ней будут храниться все сертификаты.
После этого скачайте основной сертификат, откройте его в любом текстовом редакторе и полностью скопируйте содержимое вместе со строчками «BEGIN» и «END».
В директории /ssl/crt/ создайте файл vashsite.crt и вставьте в него содержимое сертификата.
Файл приватного ключа переместите в директорию /usr/local/ssl/private/
В файле VirtualHost добавьте строки:
Указывать нужно действительные пути до файлов. Сохраните изменения и перезапустите сервер.
nginx
Здесь процесс установки SSL сертификата немного отличается. Сначала нужно объеденить корневой, промежуточный и SSL-сертификаты в один. Для этого создайте файл vashsite.crt и вставьте туда содержимое сертификатов вместе со строчками «BEGIN» и «END» (порядок: SSL, промежуточный, корневой). Пустых строк быть не должно.
Почти то же самое нужно сделать и с приватным ключом – создать файл vashsite.key и перенести содержимое ключа, загруженного с сайта поставщика.
Оба файла (vashsite.crt и vashsite.key) поместите в директорию /etc/ssl/ (она используется по умолчанию, но может отличаться).
В файле с конфигурациями отредактируйте VirtualHost. Добавьте:
Если директория с сертификатом и ключом отличается от дефолтной, поменяйте ее.
Теперь сохраните изменения и перезапустите nginx.
Как получить рабочее HTTPS-соединение
После установки сертификатов SSL сайт станет доступен по двум адресам: http://vashsite.com и https://vashsite.com. Вам нужно оставить только последний. Для этого настройте файл robots.txt и сделайте 301-редирект со старого сайта.
В «robots» нужно обновить host. Пример: Host: https://vashsite.com. Для настройки редиректа нужно добавить в файл .htacsess строчки:
Итоги
Мы разобрались, что такое https, как установить его на свой сайт и как настроить все правильно. Этот протокол уже стал стандартом соединения и со временем на него перейдут все живые сайты. Этот процесс поощрают поисковики – наличие установленного протокола защищенного соединения HTTPS стало одним из факторов ранжирования. Поэтому, если хотите попасть в топ, установить его придется.
Защищенное соединение ВКонтакте
В этом уроке рассмотрим как настроить защищенное соединение ВКонтакте.Будем включать протокол безопасной передачи данных HTTPS. HTTPS протокол — это протокол, который шифрует все данные, которые вы передаете в интернет.
Когда это может пригодится в нашем случае. К примеру, вы приходите в какое-нибудь кафе где есть бесплатная wi-fi сеть. Все посетители подключены к этой открытой сети точно также как и вы. А теперь давайте представим, что к этой сети также подключен злоумышленник, который пытается стащить передаваемые вами данные, к примеру, логин и пароль от сайта. У него это может без проблем получиться, так как вы никак не защищены от проникновения. Обычный HTTP протокол спокойно позволит ему это сделать, а вот защищенный протокол HTTPS сделать это не даст. Вот именно его мы и будем сегодня включать для социальной сети ВКонтакте.
Включается он достаточно просто. Заходим на сайт vk.com и переходим в раздел «Мои настройки». Далее переходим на вкладку «Безопасность».
По умолчанию, когда вы заходите на сайт ВКонтакте, у вас включен протокол HTTP. Посмотреть это можно кликнув по белому листку в адресной строке слева от адреса сайта.
Теперь давайте перейдем на безопасный протокол. Для этого в начале адреса нужно написать https://. Полный адрес страницы будет таким: https://vk.com/settings?act=security
После того как вы введете новый адрес и нажмете «Enter» страница обновится и в настройках безопасности появится новый блок «Защита передаваемых данных» с возможностью выбрать опцию «Всегда использовать защищенное соединение (HTTPS)». Устанавливаем галочку и щелкаем «Сохранить».
Теперь, когда мы будем заходит в социальную сеть, она будет помнить, что нас нужно отправлять на безопасный протокол и уже не имеет значения как вы вводите адрес сайта, вы всегда будете защищены. В адресной строке сейчас вместо белого листа появился зеленый замок. Если щелкнуть по нему, то можно увидеть, что ваше соединение зашифровано с помощью современных технологий.
Если вы захотите убрать эту настройку, то заходим опять в настройки, убираем галочку и нажимаем сохранить. На этом у меня все.
Ниже вы можете ознакомится с видео на тему настройки защищенного соединения с vk.com.
Не забудьте поделиться ссылкой на статью ⇒
Сегодня расскажу про сервис, который позволяет сделать сокращение ссылок ВК. Сервис позволяет из длинных ссылок получить короткие.
К сожалению, не многие пользователи знают, что в социальной сети vk есть возможность редактировать собственные сообщения. Эта функция появилась относительно недавно и доступна в полной и мобильной версиях сайта (обещают, что в ближайших обновлениях она станет доступна и пользователям мобильного приложения).
В этом уроке расскажу как делается кнопка подписаться ВКонтакте.
Многие пользователи до сих пор не знают, что во ВКонтакте можно перейти на новый интерфейс комментариев. Если Вы много общаетесь в социальной сети, то он будет очень полезен, так как позволяет переключаться между диалогами в один клик. Сегодня расскажу, как его можно включить.
- 15.08.2018
- Просмотров: 2911
В этом уроке расскажу как закрепить запись на стене ВКонтакте. Этот пост будет всегда выше остальных и находиться первым. Есть одна особенность, о которой вы должны знать — возможность записи закрепиться на стене есть только у тех, которые опубликованы от вашего имени. Также, записи можно закреплять и в группах.
Как работает HTTPS соединение — принцип работы SSL шифрования.
В современном мире информация стала основной ценностью, а ее защита – первостепенной задачей ее владельцев. IP-телефония, Интернет -магазины, онлайн-банкинг, переговоры по Skype и обмен видео- и графическими файлами, удаленное управление серверами и удаленный доступ к внутренним сетевым ресурсам компаний прочно вошли в нашу жизнь. Все это надежно работает благодаря специальному протоколу, обеспечивающему защиту передаваемой по сети информации.
Почему требуется защита информации? Потому что на пути от Вашего компьютера на сервер, где располагается сайт, на котором Вы вводите, например, данные банковской карты – расположено множество узлов. Например, при загрузке нашего сайта информация передается через следующие узлы:
И это только глобальные узлы, имеющие свой IP адрес. Здесь не показывается сетевое «железо» вроде wi-fi точек доступа или офисных сетевых коммутаторов. Передаваемая информация может быть перехвачена на любом из них, поэтому шифрование данных становится необходимым при передаче конфиденциальной информации.
Принцип работы соединения по HTTPS протоколу
HTTPS представляет собой защищенный вариант HTTP протокола (hypertext transfer protocol – протокола передачи гипертекста), который первоначально использовался для передачи гипертекстовых документов. Со временем его стали применять и для передачи любых данных через Интернет. HTTP построен на принципе отношений «клиент- сервер»:
- клиент инициирует соединение, для чего посылает запрос серверу;
- сервер получает запрос, обрабатывает его и отправляет клиенту полученные результаты.
Виртуальный хостинг сайтов для популярных CMS:
В HTTP данные передаются без шифрования, в открытом виде. На пути от клиента к серверу информация проходит через десятки и сотни узлов, и доступ к ней может получить кто угодно на любом этапе передачи. То же самое может случиться при подключении к Интернету через незащищенную сеть Wi-Fi в общественном месте – баре, клубе, на улице или в метро.
От постороннего доступа необходимо защищать банковские, коммерческие, юридические и любые персональные данные – паспортные, медицинские, налоговые, судебные и пр.
В этих случаях для передачи конфиденциальной информации используется соединение HTTPS (HTTP Secure) – безопасная версия стандартного HTTP соединения. Оно подходит для любых устройств с выходом в Интернет – планшетов, мобильных телефонов, смартфонов, настольных ПК и ноутбуков. HTTPS не требует настроек со стороны пользователя – он автоматически начинает работать в нужный момент.
HTTPS поддерживают все современные браузеры, в том числе Google Chrome, Mozilla Firefox, Opera, Internet Explorer и Safari.Если сайт использует https-протокол – это видно в адресной строке браузера. Например, в Chrome:
Использование протокола HTTPS, области применения
Не всегда есть необходимость шифровать передаваемые данные. При шифровании увеличивается объем передаваемой информации, поэтому нужна достаточно большая скорость Интернета и пропускная способность канала. В каких случаях действительно необходимо использовать защищенное соединение, а когда без этого можно обойтись?
Личные блоги, новостные и любые справочные сайты могут обойтись без HTTPS протокола. Он необходим там, где есть:
- личный кабинет пользователя;
- услуги почтового сервера;
- обмен персональными данными;
- передача конфиденциальной информации.
Например, вы хотите написать сообщение в Фейсбуке или пообщаться с друзьями в Контакте. Вы вводите свой логин и пароль, чтобы зайти на личную страницу. Это конфиденциальная информация, привязанная к вашему номеру мобильного телефона и адресу электронной почты. В тот момент, когда вы нажимаете кнопку «Вход», открывается страница защищенного соединения. Узнать ее несложно – в левой части адресной строки появляется зеленый закрытый замок, а сам адрес зеленого цвета и начинается с HTTPS.
Или вы хотите купить подарок в интернет-магазине. Для оплаты вводите номер банковской карты, срок ее действия, фамилию и имя держателя, код CVV. Вся эта информация ни в коем случае не должна попасть в чужие руки, поэтому она шифруется и передается только через HTTPS соединение. Если сайт онлайн-магазина не поддерживает HTTPS, совершать в нем покупку опасно – можно лишиться всех денег на счету.
Как правило, браузеры сами сообщают пользователю об отсутствии безопасного соединения или сертификата безопасности у владельца сайта. На экране появляется сообщение, согласны ли вы перейти на небезопасную страницу:
Аналогичные требования по защите информации для удаленных сотрудников, которым нужен доступ к внутренним ресурсам компании – например, почтовому серверу, финансовым отчетам, системе управления. С начала сессии ваше устройство обменивается данными с сервером по незащищенному HTTP протоколу. Как в этом случае добиться безопасного соединения? Здесь на помощь приходит многоступенчатое шифрование передаваемых данных через криптографический протокол SSL/TLS. SSL можно сравнить с «фантиком», в который заворачивают данные HTTP, чтобы скрыть их от посторонних.
SSL сертификат — как работает SSL шифрование
Протокол SSL/TLS помогает двум незнакомым друг с другом пользователям Интернета установить защищенное соединение через обычный, незащищенный канал. С помощью математических алгоритмов оба пользователя – клиент и сервер – договариваются о секретном ключе, не передавая его напрямую через соединение. Даже если кто-то сумеет подключиться к соединению и перехватить все передаваемые данные, расшифровать их ему не удастся.
Протокол SSL использует многослойную среду: с одной стороны от него находится протокол программы-клиента (например, IMAP, HTTP, FTP), а с другой – транспортный TCP/IP. Для SSL шифрования используются симметричные и ассиметричные ключи, полученные с помощью различных математических моделей.
Чтобы понять общий принцип работы SSL, представьте, что вам нужно что-то передать другому человеку. Вы кладете этот предмет в коробку, вешаете замок от воров и посылаете по почте. Адресат получает коробку, но не может ее открыть без ключа. Тогда он вешает на коробку собственный замок и возвращает ее вам. Получив свою коробку с двумя запертыми замками, вы убираете свой замок (ее надежно защищает второй) и возвращаете коробку. В итоге адресату приходит коробка, закрытая только на один – его – замок. Он снимает замок и достает посылку.
Теперь представьте, что в коробку вы положили код от тайного шифра, и адресат его получил. С этой минуты вы можете посылать друг другу зашифрованные сообщения по открытому соединению – даже если они попадут в чужие руки, расшифровать их без ключа не получится.
При установке безопасного соединения по протоколу HTTPS ваше устройство и сервер договариваются о симметричном ключе (его еще называют «общим тайным ключом»), после чего обмениваются уже зашифрованными с его помощью данными. Для каждой сессии связи создается новый ключ. Подобрать его почти невозможно. Для полной защиты не хватает только уверенности, что ваш собеседник на другом конце провода – действительно тот, за кого себя выдает.
Ведь вашу посылку мог перехватить мошенник. Он повесил на вашу коробку свой замок, отправил ее обратно, а потом получил еще раз, уже без вашего замка, зато с секретным кодом внутри. Узнав код, он сообщил его настоящему адресату, который и не подозревал о взломе. Дальше вы продолжаете обмениваться информацией с адресатом, но у мошенника есть секретный ключ, поэтому он читает все ваши сообщения.
Здесь в игру вступают цифровые сертификаты. Их задача – подтвердить, что на другом конце провода находится реальный адресат, управляющий указанным в сертификате сервером. Выдают такие сертификаты специальные центры. Сертификат содержит название компании и электронную подпись, которая подтверждает его подлинность. Именно ее проверяет браузер в момент установки безопасного HTTPS соединения.
По сути, сертификат гарантирует, что замок на вашей коробке уникальный и принадлежит вашему адресату. Если продолжить «коробочную» аналогию – центр сертификации это почтовая служба, которая отправляет посылку, только проверив Ваши данные.
Для сайтов, требующих повышенного уровня безопасности существует расширенная версия цифрового сертификата. В этом случае организация-владелец домена проходит дополнительные проверки, а пользователь видит в адресной строке не только зеленый закрытый замок, но и зеленое поле, а также название организации. Пример:
HTTPS не означает, что сайт безопасный
Если в адресной строке браузера слева от адреса сайта вы видите изображение зеленого замочка и надпись «Защищено», это повышает ваше доверие к сайту, не правда ли? В этом случае ссылка начинается с букв HTTPS, а если кликнуть на замочек, вы увидите фразу «сайт использует защищенное соединение». Сейчас все больше и больше сайтов переходят на HTTPS, более того — у сайтов просто не остается выбора, делать это или нет. Казалось бы: ну и прекрасно! Чем больше защищенных сайтов в Интернете — тем лучше!
Но мы сейчас скажем вам то, о чем вы, возможно, не подозревали: все эти символы «защищенности» не гарантируют, что сайт не несет угрозу. Например, что он не фишинговый.
Безопасное соединение не значит безопасный сайт
Зеленый замочек означает, что сайту выдан сертификат и что для него сгенерирована пара криптографических ключей. Такой сайт шифрует информацию, передаваемую вами сайту и от сайта к вам. В этом случае адрес страницы будет начинаться с HTTPS, и вот эта последняя «S» значит secure, то есть «безопасный».
Шифрование – это хорошо и полезно. Это значит, что информацию, которой обмениваются ваш браузер и сайт, не смогут заполучить всевозможные третьи лица – провайдеры, администраторы сетей, злоумышленники, решившие перехватить трафик, и так далее. То есть вы можете вбивать на сайте пароль или данные банковской карты и не волноваться, что их подсмотрит кто-то со стороны.
Проблема в том, что зеленый замочек и выданный сертификат ничего не говорят собственно о самом сайте. Фишинговая страница с тем же успехом может получить сертификат и шифровать всю коммуникацию между вами и ней.
Проще говоря, все это означает, что на сайте «с замочком» никто со стороны не сможет подсмотреть и украсть пароль, который вы вводите. Но этот пароль может украсть сам сайт, на котором вы пароль ввели — в том случае, если сайт поддельный.
Этим активно пользуются злоумышленники: по данным Phishlabs, сейчас уже четверть всех фишинговых атак осуществляется на HTTPS-сайтах (а еще два года назад было менее одного процента). При этом более 80% пользователей считают, что зеленый замочек и надпись «Защищено», которыми сопровождается HTTPS-соединение в браузерной строке, означают, что сайт безопасный, а значит, у них меньше сомнений, вводить на таком сайте свои данные или нет.
А что, если замочек не зеленый?
В целом бывает еще два варианта. Если замочка нет вообще – это значит, что сайт не использует шифрование и обменивается с вашим браузером информацией по протоколу HTTP. Браузер Google Chrome с недавних пор маркирует такие сайты как небезопасные. На самом деле они могут быть «белыми и пушистыми» – просто не шифруют коммуникацию между вами и сервером. Поскольку владельцы большинства сайтов не хотят, чтобы Google помечал сайты как небезопасные, все большее число веб-страниц переходит на HTTPS. Ну и вводить чувствительные данные на HTTP-сайтах не стоит – их может кто-нибудь подсмотреть.
Второй вариант – перечеркнутый замочек и выделенные красным буквы HTTPS. Это значит, что сертификат у сайта есть, но он неподтвержденный или же он устарел. То есть соединение между вами и сервером шифруется, но никто не гарантирует, что домен действительно принадлежит той компании, которая указана на сайте. Это самый подозрительный вариант – обычно такими сертификатами пользуются только в тестовых целях, ну или, как вариант, у сертификата истек срок и владелец его не обновил. Браузеры также отмечают такие страницы как небезопасные, но более наглядно: выводится предупреждение с красным замочком. В любом случае мы бы не советовали ходить на сайты с такими сертификатами и уж тем более вводить на них какие-либо личные данные.
Что нужно помнить, чтобы не попасться на удочку
Резюмируем: наличие cертификата и индикаторов в виде зеленого замочка и надписи «Защищено» означает лишь то, что данные, передаваемые между вами и сайтом, шифруются, а также то, что сертификат выдан доверенным сертификационным центром. При этом HTTPS-сайт вполне может оказаться зловредным — особенно удачно манипулируют этим мошенники, промышляющие фишингом.
Поэтому всегда будьте осторожны, каким бы надежным сам сайт ни показался вам на первый взгляд.
- Никогда не вводите ваши логины, пароли, банковские и другие личные данные на сайте, пока окончательно не удостоверитесь в его подлинности. Для этого всегда проверяйте доменное имя (обязательно очень внимательно, имя сайта мошенников может отличаться всего на один символ!) и переходите только по надежным ссылкам.
- Всегда спрашивайте себя, зачем вам регистрация на том или ином сайте, что он предлагает, не выглядит ли подозрительно.
- Не забывайте о хорошей защите своих устройств: Kaspersky Internet Security сверит адрес страницы с теми, что хранятся в обширной базе данных фишинговых сайтов, и обнаружит мошенников независимо от того, насколько «надежным» выглядит ресурс.