A legtöbb internetet használó ember már tudja, hogy a lakat ikon az URL-sávban azt jelenti, hogy a webhely igen biztonságos, de lehet, hogy nem tudja pontosan, hogy ez mit jelent, vagy hogy mennyire biztonságos a kapcsolata ezzel lakat.
A lakat vizuálisan jelzi, hogy a webhelyhez való kapcsolódása HTTPS-en keresztül biztosított. A HTTPS vagy a Hypertext Transfer Protocol Secure a HTTP protokoll egyik változata, amely titkosítást használ, hogy megvédje adatait a kíváncsi szemektől.
A titkosítás az adatok titkosítási rejtjellel és kulccsal történő titkosításának folyamata, hogy csak a visszafejtő kulcs használatával lehessen őket olvasni. Felfoghatod úgy, mint egy zárládát, írhatsz üzenetet, lezárhatod a dobozt, majd csak a megfelelő kulccsal tudja kinyitni a dobozt, hogy elolvassa az üzenetet. Ez biztonságban tartja adatait a fiókadatokat ellopni próbáló hackerekkel szemben.
Az egyik legfontosabb információ, amelyet tudnia kell, hogy a HTTPS titkosítása és biztonsága csak azt igazolja, hogy az URL-sávba beírt webhelyhez való kapcsolata biztonságos. Ez nem jelenti azt, hogy a webhely biztonságos, vagy még azt sem, hogy ez az a webhely, amelyre böngészni készült. Számos adathalász és rosszindulatú szoftverrel foglalkozó webhely áttér a HTTPS használatára, amint az elérhetőbbé válik, ezért nem biztonságos megbízni bármely HTTPS-t használó webhelyen.
Tipp: Egy „adathalász” webhely egy jogos bejelentkezési oldal meghamisításával próbálja rávenni Önt, hogy bizalmas adatokat, például fiókinformációkat adjon meg. Az adathalász webhelyekre mutató hivatkozásokat gyakran e-mailben küldik el. A rosszindulatú programok a „rosszindulatú szoftverek” általános kifejezése, amely magában foglalja a vírusokat, férgeket, zsarolóprogramokat és egyebeket.
Megjegyzés: Soha ne adja meg felhasználónevét és jelszavát, vagy más bizalmas adatokat, például banki adatokat nem biztonságos kapcsolaton keresztül. Még ha egy webhely rendelkezik is lakattal és HTTPS-kapcsolattal, ez nem jelenti azt, hogy továbbra is ne legyen óvatos az adatok megadásával.
Chrome fejlesztői eszközök
A biztonságos kapcsolattal kapcsolatos további információk megtekintéséhez nyissa meg a Chrome fejlesztői eszköztárát. Ezt megteheti az F12 billentyű lenyomásával, vagy a jobb gombbal kattintva, és a lista alján kiválasztja az „Inspect” (Ellenőrzés) lehetőséget.
A fejlesztői eszköztár alapértelmezés szerint az „Elemek” panelen jelenik meg, hogy megtekinthesse azokat a biztonsági információkat, amelyekre át kell váltania a „Biztonság” panelre. Ha nem látható azonnal, előfordulhat, hogy rá kell kattintania a dupla nyíl ikonra a fejlesztői eszközök panelsávjában, majd onnan válassza a „Biztonság” lehetőséget.
Ha nem tetszik, hogy a fejlesztői eszköztár az oldal jobb oldalán található, mozgathatja alulra, balra, vagy áthelyezheti egy különálló helyre. ablakban kattintson a hárompontos ikonra a fejlesztői eszköztár jobb felső sarkában, majd válassza ki a kívánt opciót a „Dokkoló oldalon” kiválasztás.
A biztonsági panel áttekintésében három információs rész található: Tanúsítvány, Kapcsolat és Erőforrások. Ezek lefedik a HTTPS-tanúsítvány részleteit, a kapcsolat biztosításához használt titkosítást, és részletezik, ha az erőforrásokat nem biztonságosan szolgálták ki.
Tanúsítványok
A tanúsítvány szakasz tartalmazza, hogy melyik tanúsító hatóság adta ki a HTTPS-tanúsítványt, ha az érvényes és megbízható, és lehetővé teszi a tanúsítvány megtekintését. A tanúsítvány azon túlmenően annak ellenőrzésén túl, hogy a webhelyet, amelyhez csatlakozik, az URL tulajdonosa üzemelteti, a tanúsítvány nem befolyásolja közvetlenül a kapcsolat biztonságát.
Tipp: A HTTPS-tanúsítványok bizalmi lánc rendszeren működnek. Számos gyökértanúsítvány-hatóságot bíznak meg abban, hogy tanúsítványokat állítanak ki a webhelytulajdonosok számára, miután igazolják, hogy övék a webhely. Ezt a rendszert arra tervezték, hogy megakadályozza, hogy a hackerek tanúsítványokat állíthassanak elő webhelyekhez nem birtokolják, mivel ezeknek a tanúsítványoknak nem lesz a bizalmi lánca vissza a gyökértanúsítványhoz hatóság.
Kapcsolat
A „Kapcsolat” szakasz részletezi az adatok titkosításához használt titkosítási protokollt, kulcscsere algoritmust és titkosítási algoritmust. A titkosítási algoritmus ideális esetben „TLS 1.2” vagy „TLS 1.3” legyen. A TLS vagy Transport Level Security a titkosítási konfigurációk egyeztetésének szabványa.
A TLS 1.3 és 1.2 verziója a jelenlegi szabvány, és biztonságosnak tekinthető. A TLS 1.0 és 1.1 egyaránt elavult állapotban van, mivel régiek, és vannak ismert gyengeségeik, bár biztonsági szempontból még mindig megfelelőek.
Tipp: Az elavult azt jelenti, hogy használatukat nem javasolják, és lépéseket tesznek a támogatás megszüntetésére.
A TLS elődjei az SSLv3 és az SSLv2 voltak. Szinte sehol nem támogatja ezen opciók egyikét sem, mert 2015 és 2011 óta elavulttá váltak, mivel nem tekinthetők biztonságosnak.
A következő érték a kulcscsere algoritmus. Ez a titkosítási algoritmussal használandó titkosítási kulcs biztonságos egyeztetésére szolgál. Túl sok van, hogy megnevezzük, de általában az „Elliptic-curve Diffe-Hellman Ephemeral” vagy ECDHE-nek nevezett kulcsfontosságú megállapodási protokollra támaszkodnak. Nem lehet meghatározni az egyeztetett titkosítási kulcsot harmadik féltől származó hálózatfigyelő szoftver és szándékosan meggyengített konfiguráció nélkül. Ha kifejezetten nem támogatja a böngészőben ezekhez az információkhoz való hozzáférést, az azt jelenti, hogy nem kerülhet veszélybe véletlenül.
A Kapcsolat szakasz végső értéke a kapcsolat titkosításához használt rejtjelkészlet. Ismét túl sok van ahhoz, hogy megnevezzem. A rejtjeleknek általában többrészes neveik vannak, amelyek leírhatják a használt titkosítási algoritmust, a titkosítás bitekben kifejezett erősségét és a használt módot.
A fenti képernyőképen látható AES-128-GCM példájában a titkosítási algoritmus AES, vagy az Advanced Encryption Standard, amelynek erőssége 128 bites, és a Galois-Counter-Mode használt.
Tipp: A 128 vagy 256 bit a kriptográfiai biztonság leggyakoribb szintje. Ezek azt jelentik, hogy 128 vagy 256 bit véletlenszerűség alkotja a használt titkosítási kulcsot. Ez 2^128 lehetséges kombináció, vagy kettő 128-szor megszorozva önmagával. Mint minden exponenciális esetében, a számok nagyon nagyok lesznek, nagyon gyorsan. A lehetséges 256 bites billentyűkombinációk száma nagyjából megegyezik a megfigyelhető univerzum atomjainak néhány alsó kategóriás becslésével. Elképzelhetetlenül nehéz helyesen kitalálni egy titkosítási kulcsot, még több szuperszámítógép és több évszázados idő esetén is.
Erőforrások
Az erőforrások szakaszban minden olyan oldalerőforrás, például képek, szkriptek és stíluslapok láthatók, amelyek nem biztonságos kapcsolaton keresztül lettek betöltve. Ha az erőforrások nem biztonságosan lettek betöltve, ez a szakasz piros színnel jelenik meg, és hivatkozást ad az adott elem vagy elemek megjelenítéséhez a hálózati panelen.
Ideális esetben minden erőforrást biztonságosan kell betölteni, mivel a nem biztonságos erőforrásokat egy hacker módosíthatja az Ön tudta nélkül.
Több információ
A panel bal oldalán található oszlop segítségével további információkat láthat az egyes betöltött domainekről és aldomainekről. Ezek az oldalak nagyjából ugyanazokat az információkat jelenítik meg, mint az áttekintés, bár a tanúsítvány átláthatóságára vonatkozó információk és néhány további részlet a tanúsítványokból láthatók.
Tipp: A Certificate Transparency egy protokoll, amelyet a tanúsítványkibocsátási folyamattal kapcsolatos korábbi visszaélések elleni küzdelemre használnak. Mostantól minden újonnan kiállított tanúsítvány kötelező része, és a tanúsítvány jogszerűségének további ellenőrzésére szolgál.
A kiindulási nézet lehetővé teszi, hogy átnézzen minden olyan tartományt és aldomaint, amelyek tartalmat töltöttek be az oldalra, így áttekintheti a konkrét biztonsági konfigurációkat.