Hva er HTTPS, og hvorfor bør jeg bry meg?

HTTPS, låsikonet i adresselinjen, en kryptert nettstedsforbindelse - det er kjent som mange ting. Mens det en gang var reservert primært for passord og andre sensitive data, etterlater hele nettet HTTP gradvis og bytter til HTTPS.

"S" i HTTPS står for "Secure". Det er den sikre versjonen av standard "hypertekstoverføringsprotokoll" nettleseren din bruker når du kommuniserer med nettsteder.

Hvordan HTTP setter deg i fare

Når du kobler til et nettsted med vanlig HTTP, ser nettleseren din opp IP-adressen som tilsvarer nettstedet, kobles til den IP-adressen og antar at den er koblet til riktig webserver. Data sendes over forbindelsen i klar tekst. En avlytter på et Wi-Fi-nettverk, din internettleverandør eller offentlige etterretningsbyråer som NSA kan se nettsidene du besøker og dataene du overfører frem og tilbake.

RELATERT: Hva er kryptering, og hvordan fungerer det?

Det er store problemer med dette. For det første er det ingen måte å bekrefte at du er koblet til riktig nettsted. Kanskje du tror du har åpnet bankens nettsted, men du er på et kompromittert nettverk som omdirigerer deg til et bedragernettsted. Passord og kredittkortnumre skal aldri sendes via en HTTP-forbindelse, ellers kan en avlytter bare stjele dem.

Disse problemene oppstår fordi HTTP-tilkoblinger ikke er kryptert. HTTPS-tilkoblinger er.

Hvordan HTTPS-kryptering beskytter deg

RELATERT: Hvordan nettlesere verifiserer nettstedsidentiteter og beskytter mot bedragere

HTTPS er mye sikrere enn HTTP. Når du kobler deg til en HTTPS-sikret server - sikre nettsteder som bankens vil automatisk omdirigere deg til HTTPS - nettleseren din sjekker nettstedets sikkerhetssertifikat og verifiserer at den ble utstedt av en legitim sertifikatmyndighet. Dette hjelper deg med å sikre at hvis du ser “//bank.com” i adressefeltet i nettleseren din, er du faktisk koblet til bankens virkelige nettsted. Selskapet som utstedte sikkerhetssertifikatet, garanterer dem. Dessverre utsteder sertifikatmyndigheter noen ganger dårlige sertifikater, og systemet går i stykker. Selv om det ikke er perfekt, er HTTPS fortsatt mye sikrere enn HTTP.

Når du sender sensitiv informasjon over en HTTPS-forbindelse, kan ingen avlytte den under transport. HTTPS er det som muliggjør sikker nettbank og shopping.

Det gir også ekstra privatliv for normal surfing. For eksempel er Googles søkemotor nå standard som HTTPS-tilkoblinger. Dette betyr at folk ikke kan se hva du søker etter på Google.com. Det samme gjelder Wikipedia og andre nettsteder. Tidligere ville alle på samme Wi-Fi-nettverk kunne se søkene dine, som Internett-leverandøren din.

Hvorfor alle vil la HTTP ligge bak

HTTPS var opprinnelig ment for passord, betalinger og andre sensitive data, men hele nettet beveger seg nå mot det.

I USA har Internett-leverandøren lov til å lure på nettleserloggen din og selge den til annonsører. Hvis nettet flytter til HTTPS, kan ikke Internett-leverandøren din se så mye av disse dataene - de ser bare at du kobler til et bestemt nettsted, i motsetning til hvilke enkeltsider du ser på. Dette betyr mye mer privatliv for nettlesingen din.

Enda verre, HTTP lar internettleverandøren din tukle med websidene du besøker, hvis de vil. De kan legge til innhold på websiden, endre siden eller til og med fjerne ting. Internett-leverandører kan for eksempel bruke denne metoden til å injisere flere annonser på websider du besøker. Comcast injiserer allerede advarsler om båndbreddehetten, og Verizon har injisert en supercookie som brukes til å spore annonser. HTTPS forhindrer Internett-leverandører og andre som driver et nettverk fra å tukle med websider som dette.

Og selvfølgelig er det umulig å snakke om kryptering på nettet uten å nevne Edward Snowden. Dokumentene som Snowden lekket ut i 2013 viste at den amerikanske regjeringen overvåker nettsidene som er besøkt av Internett-brukere over hele verden. Dette fyrte opp under mange teknologiselskaper for å gå mot økt kryptering og personvern. Ved å gå til HTTPS, har regjeringer over hele verden tøffere tid på å se alle nettvanene dine.

Hvordan nettlesere oppmuntrer nettsteder til å dumpe HTTP

På grunn av dette ønsket om å gå til HTTPS, krever alle de nye standardene som er utformet for å gjøre nettet raskere, HTTPS-kryptering. HTTP / 2 er en stor ny versjon av HTTP-protokollen som støttes i alle større nettlesere. Det legger til komprimering, rørledning og andre funksjoner som hjelper deg med å laste nettsider raskere. Alle nettlesere krever at nettsteder bruker HTTPS-kryptering hvis de ønsker disse nyttige nye HTTP / 2-funksjonene. Moderne enheter har dedikert maskinvare for å behandle AES-kryptering HTTP krever også. Dette betyr at HTTPS faktisk skal være raskere enn HTTP.

Mens nettlesere gjør HTTPS attraktive med nye funksjoner, gjør Google HTTP lite attraktivt ved å straffe nettsteder for å bruke det. Google planlegger å flagge nettsteder som ikke bruker HTTPS som usikre i Chrome, og Google vil prioritere nettsteder som bruker HTTPS i Googles søkeresultater. Dette gir et sterkt incitament for nettsteder å migrere til HTTPS.

Hvordan sjekke om du er koblet til et nettsted ved hjelp av HTTPS

Du kan fortelle at du er koblet til et nettsted med en HTTPS-tilkobling hvis adressen i nettleserens adressefelt begynner med “//”. Du vil også se et låsikon, som du kan klikke for mer informasjon om nettstedets sikkerhet.

Dette ser litt annerledes ut i hver nettleser, men de fleste nettlesere har // og lås-ikonet til felles. Noen nettlesere skjuler nå “//” som standard, så du ser bare et låsikon ved siden av nettstedets domenenavn. Hvis du imidlertid klikker eller trykker på inne i adressefeltet, vil du se "//" -delen av adressen.

RELATERT: Hvorfor bruk av et offentlig Wi-Fi-nettverk kan være farlig, selv når du får tilgang til krypterte nettsteder

Hvis du bruker et ukjent nettverk og kobler til bankens nettsted, må du sørge for at du ser HTTPS og riktig nettadresse. Dette hjelper deg med å sikre at du faktisk er koblet til bankens nettsted, selv om det ikke er en idiotsikker løsning. Hvis du ikke ser en HTTPS-indikator på påloggingssiden, kan du være koblet til et bedragernettsted i et kompromittert nettverk.

Se opp for phishing-triks

RELATERT: Online sikkerhet: Bryte ned anatomien til en phishing-e-post

Tilstedeværelsen av HTTPS i seg selv er ikke en garanti for at et nettsted er legitimt. Noen smarte phishere har innsett at folk ser etter HTTPS-indikatoren og låsikonet, og kan gå ut av deres måte å skjule nettstedene sine. Så du bør fortsatt være forsiktig: ikke klikk på lenker i phishing-e-post, ellers kan du finne deg selv på en smart forkledd side. Svindlere kan også få sertifikater for sine svindelservere. I teorien er de bare forhindret fra å etterligne nettsteder de ikke eier. Du ser kanskje en adresse som //google.com.3526347346435.com. I dette tilfellet bruker du en HTTPS-tilkobling, men du er virkelig koblet til et underdomener på et nettsted som heter 3526347346435.com - ikke Google.

Andre svindlere kan etterligne låsikonet og endre favikonet til nettstedet som vises i adressefeltet til en lås for å prøve å lure deg. Hold øye med disse triksene når du sjekker forbindelsen til et nettsted.