Οι περισσότεροι άνθρωποι που χρησιμοποιούν το διαδίκτυο γνωρίζουν ήδη ότι το εικονίδιο του λουκέτου στη γραμμή URL σημαίνει ότι ο ιστότοπος είναι ασφαλές, αλλά μπορεί να μην συνειδητοποιήσετε ακριβώς τι σημαίνει αυτό ή πόσο ασφαλής είναι πραγματικά η σύνδεσή σας με αυτό λουκέτο.
Το λουκέτο είναι μια οπτική ένδειξη ότι η σύνδεσή σας με τον ιστότοπο έχει ασφαλιστεί μέσω HTTPS. Το HTTPS ή το Hypertext Transfer Protocol Secure, είναι μια έκδοση του πρωτοκόλλου HTTP που χρησιμοποιεί κρυπτογράφηση για την προστασία των δεδομένων σας από αδιάκριτα βλέμματα.
Η κρυπτογράφηση είναι μια διαδικασία κρυπτογράφησης δεδομένων με κρυπτογράφηση κρυπτογράφησης και κλειδί, έτσι ώστε να μπορεί να διαβαστεί μόνο χρησιμοποιώντας το κλειδί αποκρυπτογράφησης. Μπορείτε να το σκεφτείτε ως κλειδαριά, μπορείτε να γράψετε ένα μήνυμα, να κλειδώσετε το κουτί και μετά μόνο κάποιος με το σωστό κλειδί μπορεί να ανοίξει το πλαίσιο για να διαβάσει το μήνυμα. Αυτό διατηρεί τα δεδομένα σας ασφαλή από χάκερ που προσπαθούν να κλέψουν στοιχεία λογαριασμού.
Μια βασική πληροφορία που πρέπει να γνωρίζετε είναι ότι η κρυπτογράφηση και η ασφάλεια του HTTPS επαληθεύει μόνο ότι η σύνδεσή σας με τον ιστότοπο που πληκτρολογήσατε στη γραμμή URL είναι ασφαλής. Δεν σημαίνει ότι ο ιστότοπος είναι ασφαλής ή ότι είναι ο ιστότοπος στον οποίο θέλατε να περιηγηθείτε. Πολλοί ιστότοποι ηλεκτρονικού ψαρέματος και κακόβουλου λογισμικού μετακινούνται προς χρήση HTTPS καθώς γίνεται πιο προσιτό, επομένως δεν είναι ασφαλές να εμπιστεύεστε απλώς οποιονδήποτε ιστότοπο χρησιμοποιεί HTTPS.
Συμβουλή: Ένας ιστότοπος "ψαρέματος" προσπαθεί να σας εξαπατήσει ώστε να υποβάλετε ευαίσθητα δεδομένα, όπως πληροφορίες λογαριασμού, προσποιώντας μια νόμιμη σελίδα σύνδεσης. Οι σύνδεσμοι σε ιστότοπους ηλεκτρονικού ψαρέματος αποστέλλονται συχνά μέσω email. Το κακόβουλο λογισμικό είναι ένας γενικός όρος για το "Κακόβουλο λογισμικό" και περιλαμβάνει ιούς, σκουλήκια, ransomware και άλλα.
Σημείωση: Δεν πρέπει ποτέ να εισάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας ή άλλες ευαίσθητες πληροφορίες, όπως τραπεζικά στοιχεία, μέσω μιας μη ασφαλούς σύνδεσης. Ακόμα κι αν ένας ιστότοπος έχει το λουκέτο και το HTTPS, δεν σημαίνει ότι δεν πρέπει να προσέχετε πού εισάγετε τα στοιχεία σας.
Chrome Developer Tools
Για να δείτε περισσότερες πληροφορίες σχετικά με την ασφαλή σύνδεσή σας, πρέπει να ανοίξετε τη γραμμή εργαλείων προγραμματιστών του Chrome. Μπορείτε να το κάνετε πατώντας F12 ή κάνοντας δεξί κλικ και επιλέγοντας «Inspect» στο κάτω μέρος της λίστας.
Η γραμμή εργαλείων προγραμματιστή θα βρίσκεται από προεπιλογή στον πίνακα "Στοιχεία", για να δείτε τις πληροφορίες ασφαλείας που χρειάζεστε για να μεταβείτε στον πίνακα "Ασφάλεια". Εάν δεν είναι άμεσα ορατό, ίσως χρειαστεί να κάνετε κλικ στο εικονίδιο με το διπλό βέλος στη γραμμή του πίνακα εργαλείων προγραμματιστή και, στη συνέχεια, να επιλέξετε "Ασφάλεια" από εκεί.
Εάν δεν σας αρέσει η γραμμή εργαλείων προγραμματιστή να είναι προσαρτημένη στα δεξιά της σελίδας, μπορείτε να τη μετακινήσετε προς τα κάτω, αριστερά ή να τη μετακινήσετε σε ξεχωριστό παράθυρο κάνοντας κλικ στο εικονίδιο με την τριπλή κουκκίδα στην επάνω δεξιά γωνία της γραμμής εργαλείων προγραμματιστή και, στη συνέχεια, επιλέγοντας την προτιμώμενη επιλογή από την "πλευρά του Dock" επιλογή.
Στην επισκόπηση του πίνακα ασφαλείας, υπάρχουν τρεις ενότητες πληροφοριών, Πιστοποιητικό, Σύνδεση και Πόροι. Αυτά καλύπτουν τις λεπτομέρειες του πιστοποιητικού HTTPS, την κρυπτογράφηση που χρησιμοποιείται για την ασφάλεια της σύνδεσης και λεπτομέρειες για το εάν κάποιοι πόροι εξυπηρετούνταν με μη ασφαλή αντίστοιχα.
Πιστοποιητικά
Η ενότητα πιστοποιητικού δηλώνει ποια αρχή έκδοσης πιστοποιητικών εξέδωσε το πιστοποιητικό HTTPS, εάν είναι έγκυρο και αξιόπιστο, και σας επιτρέπει να προβάλετε το πιστοποιητικό. Πέρα από την επαλήθευση ότι ο ιστότοπος στον οποίο συνδέεστε διευθύνεται από το άτομο που κατέχει τη διεύθυνση URL, το πιστοποιητικό δεν επηρεάζει άμεσα την ασφάλεια της σύνδεσής σας
Συμβουλή: Τα πιστοποιητικά HTTPS λειτουργούν σε ένα σύστημα αλυσίδας εμπιστοσύνης. Ορισμένες αρχές πιστοποιητικών ρίζας είναι αξιόπιστες για την έκδοση πιστοποιητικών σε κατόχους ιστοτόπων, αφού αποδείξουν ότι είναι κάτοχος του ιστότοπου. Αυτό το σύστημα έχει σχεδιαστεί για να εμποδίζει τους χάκερ να μπορούν να δημιουργούν πιστοποιητικά για ιστότοπους δεν είναι κάτοχοι, καθώς αυτά τα πιστοποιητικά δεν θα έχουν την αλυσίδα εμπιστοσύνης πίσω σε ένα πιστοποιητικό ρίζας εξουσία.
Σύνδεση
Η ενότητα "Σύνδεση" περιγράφει λεπτομερώς το πρωτόκολλο κρυπτογράφησης, τον αλγόριθμο ανταλλαγής κλειδιών και τον αλγόριθμο κρυπτογράφησης που χρησιμοποιούνται για την κρυπτογράφηση των δεδομένων σας. Ο αλγόριθμος κρυπτογράφησης θα πρέπει ιδανικά να λέει "TLS 1.2" ή "TLS 1.3". Το TLS, ή Transport Level Security, είναι το πρότυπο για τη διαπραγμάτευση διαμορφώσεων κρυπτογράφησης.
Οι εκδόσεις TLS 1.3 και 1.2 είναι τα τρέχοντα πρότυπα και θεωρούνται ασφαλείς. Τα TLS 1.0 και 1.1 βρίσκονται και τα δύο σε διαδικασία κατάργησης καθώς είναι παλιά και έχουν κάποιες γνωστές αδυναμίες, αν και εξακολουθούν να είναι επαρκώς ως προς την ασφάλεια.
Συμβουλή: Καταργήθηκε σημαίνει ότι η χρήση τους αποθαρρύνεται και λαμβάνονται μέτρα για την αφαίρεση της υποστήριξης.
Οι προκάτοχοι του TLS ήταν οι SSLv3 και SSLv2. Σχεδόν πουθενά δεν υποστηρίζεται πλέον καμία από αυτές τις επιλογές, επειδή έχουν καταργηθεί λόγω του ότι θεωρούνται ανασφαλείς από το 2015 και το 2011 αντίστοιχα.
Η επόμενη τιμή είναι ο αλγόριθμος ανταλλαγής κλειδιών. Αυτό χρησιμοποιείται για την ασφαλή διαπραγμάτευση του κλειδιού κρυπτογράφησης που θα χρησιμοποιηθεί με τον αλγόριθμο κρυπτογράφησης. Υπάρχουν πάρα πολλά για να ονομάσουμε, αλλά γενικά βασίζονται σε ένα πρωτόκολλο βασικής συμφωνίας που ονομάζεται "Elliptic-curve Diffe-Hellman Ephemeral" ή ECDHE. Δεν είναι δυνατός ο προσδιορισμός του συμφωνηθέντος κλειδιού κρυπτογράφησης χωρίς τη χρήση λογισμικού παρακολούθησης δικτύου τρίτου κατασκευαστή και μια σκόπιμα εξασθενημένη διαμόρφωση. Η ρητή μη υποστήριξη πρόσβασης σε αυτές τις πληροφορίες στο πρόγραμμα περιήγησης σημαίνει ότι δεν μπορεί να παραβιαστεί κατά λάθος.
Η τελική τιμή στην ενότητα Σύνδεση είναι η σουίτα κρυπτογράφησης που χρησιμοποιείται για την κρυπτογράφηση της σύνδεσης. Για άλλη μια φορά υπάρχουν πάρα πολλά για να αναφέρουμε. Οι κρυπτογράφηση έχουν γενικά ονόματα πολλών μερών που μπορούν να περιγράψουν τον αλγόριθμο κρυπτογράφησης που χρησιμοποιείται, την ισχύ της κρυπτογράφησης σε bit και τη λειτουργία που χρησιμοποιείται.
Στο παράδειγμα του AES-128-GCM, όπως φαίνεται στο παραπάνω στιγμιότυπο οθόνης, ο αλγόριθμος κρυπτογράφησης είναι AES ή το προηγμένο πρότυπο κρυπτογράφησης, η ισχύς είναι 128-bit και η λειτουργία Galois-Counter-Mode μεταχειρισμένος.
Συμβουλή: Τα 128 ή 256 bit είναι τα πιο κοινά επίπεδα κρυπτογραφικής ασφάλειας. Σημαίνουν ότι υπάρχουν 128 ή 256 bit τυχαίας που συνθέτουν το κλειδί κρυπτογράφησης που χρησιμοποιείται. Αυτό είναι 2^128 πιθανοί συνδυασμοί, ή δύο πολλαπλασιασμένοι από τον εαυτό τους 128 φορές. Όπως συμβαίνει με όλα τα εκθετικά, οι αριθμοί γίνονται πολύ μεγάλοι, πολύ γρήγορα. Ο αριθμός των πιθανών συνδυασμών πλήκτρων 256 bit είναι περίπου ίσος με ορισμένες χαμηλές εκτιμήσεις του αριθμού των ατόμων στο παρατηρήσιμο σύμπαν. Είναι αφάνταστα δύσκολο να μαντέψει κανείς σωστά ένα κλειδί κρυπτογράφησης, ακόμη και με πολλούς υπερυπολογιστές και αιώνες χρόνου.
Πόροι
Η ενότητα πόροι εμφανίζει τυχόν πόρους σελίδας, όπως εικόνες, σενάρια και φύλλα στυλ, που δεν φορτώθηκαν μέσω ασφαλούς σύνδεσης. Εάν κάποιοι πόροι έχουν φορτωθεί με μη ασφαλή τρόπο, αυτή η ενότητα θα επισημάνει το κόκκινο χρώμα και θα παρέχει έναν σύνδεσμο για την εμφάνιση του συγκεκριμένου στοιχείου ή στοιχείων στον πίνακα δικτύου.
Στην ιδανική περίπτωση, όλοι οι πόροι θα πρέπει να φορτώνονται με ασφάλεια, καθώς κάθε μη ασφαλής πόρος θα μπορούσε να τροποποιηθεί από έναν χάκερ χωρίς να το γνωρίζετε.
Περισσότερες πληροφορίες
Μπορείτε να δείτε περισσότερες πληροφορίες για κάθε τομέα και υποτομέα που φορτώθηκαν χρησιμοποιώντας τη στήλη στα αριστερά του πίνακα. Αυτές οι σελίδες εμφανίζουν περίπου τις ίδιες πληροφορίες με την επισκόπηση, αν και εμφανίζονται πληροφορίες διαφάνειας πιστοποιητικού και ορισμένες επιπλέον λεπτομέρειες από τα πιστοποιητικά.
Συμβουλή: Η διαφάνεια πιστοποιητικού είναι ένα πρωτόκολλο που χρησιμοποιείται για την αντιμετώπιση ορισμένων ιστορικών καταχρήσεων της διαδικασίας έκδοσης πιστοποιητικού. Είναι πλέον υποχρεωτικό μέρος όλων των πρόσφατα εκδοθέντων πιστοποιητικών και χρησιμοποιείται για την περαιτέρω επαλήθευση της νομιμότητας του πιστοποιητικού.
Η προβολή προέλευσης σάς επιτρέπει να κοιτάξετε σε καθέναν από τους τομείς και τους υποτομείς που φόρτωσαν περιεχόμενο στη σελίδα, ώστε να μπορείτε να ελέγξετε τις συγκεκριμένες διαμορφώσεις ασφαλείας τους.