Gali atrodyti, kad naršymui internete naudojant HTTPS protokolą, šis automatiškai užtikrina konfidencialių duomenų saugumą. Deja, kad ir kaip visi norėtų sukurti tokį kibernetinio saugumo modelį, kol kas tokia siekiamybė neįgyvendinama. Ir taip yra dėl to, nes informacijos saugą telekomunikaciniuose ir kompiuteriniuose tinkluose taip pat lemia ir žmogiškasis faktorius. Būtent dėl to kiekvienam internautui pravartu susipažinti su svarbiausiais HTTPS susijungimo autentiškumo ir saugumo rodikliais.

Kaip ir HTTP protokolo atveju, tai taip ir naudojant HTTPS, susijungimo tipą galima nustatyti pagal prierašą internetinės nuorodos pradžioje. Susijungimui naudojant HTTPS protokolą, nuorodos pradžioje visuomet būna naudojama papildoma https:// žyma. Jeigu HTTP protokolo atveju prierašas http:// dažniausiai neatvaizduojamas, tai naudojant HTTPS protokolą papildoma žyma https:// būna matoma praktiškai visose populiariausiose interneto naršyklėse, o esant saugiam susijungimui, ji dar netgi būna pažymima žalia spalva.

Atidžiau pasižiūrėjus, prie konkrečios nuorodos interneto naršyklėje taip pat galima pastebėti ir spynos piktogramą. Ši taip pat yra vienas iš skiriamųjų HTTPS protokolo naudojimo ženklų. Kartais šalia spynos piktogramos gali būti rašomas ir bendrovės ar įstaigos, prie kurios tinklalapio jungiamasi, pavadinimas.

Tai yra aiškios nuorodos, kad susijungimas HTTPS protokolu yra saugus ir vykdomas su patikimu serveriu. Šį grįžtamąjį ryšį apie tinkamą susijungimą vartotojui įmanoma pateikti, naudojant SSL skaitmeninius sertifikatus. Sertifikatai tinklalapiams prie kurių nuorodos rašomas ir jau minėtas įmonės ar bendrovės pavadinimas, išduodami, taikant dar griežtesnius reikalavimus. Šiuos EV (angl. Extended Validation) SSL tipo sertifikatus, siekdami pagrįsti savo tapatybę, labai dažnai naudoja bankams priklausantys tinklalapiai.

Prieš pradedant susijungimą HTTPS protokolu, serveris užklausą pateikusiam vartotojui visų pirma atsiunčia savo tapatybę patvirtinantį sertifikatą. Jame būna nurodomas sertifikato savininkas, jo galiojimo periodas, jį išdavusios institucijos pavadinimas bei kita svarbi informacija. Jeigu interneto naršyklė nustato, kad apie atitinkamą SSL sertifikatą savo duomenų bazėje ji neturi jokios informacijos ar šie duomenys nesutampa, toks HTTPS susijungimas iš karto bus interpretuojamas kaip nesaugus.

Apie tai interneto naršyklė vartotoją informuoja raudonai perbraukdama https:// užrašą. Be to, vartotojas tokiu atveju apie potencialų saugos trūkumo pavojų taip pat būna pakartotinai informuojamas papildomu pranešimu monitoriaus ekrane. Kitaip sakant, prieš patekdamas į tokį puslapį, jis privalo patvirtinti savo pasirinkimą, kadangi kitu atveju interneto naršyklė tinklalapio su netinkamu SSL sertifikatu tiesiog neįkels.

Toks netinkamo sertifikato ignoravimas gali padėti užkirsti kelią piktavalio inicijuojamai atakai. Vis dėlto Lietuvoje kartais gerai žinomos įmonės naudoja nuosavus SSL sertifikatus, kurie viešo pripažinimo internetinėje erdvėje, deja, neturi. Tokiu atveju tiesiog reikėtų sukurti saugumo išimtį ir toliau naudotis atitinkamu tinklalapiu, tačiau čia svarbu suprasti, kad šiuo atveju HTTPS protokolo sauga jau nėra tokia patikima. Kitaip sakant, potenciali rizika vietoje įmonės tikrojo SSL sertifikato kada nors parsisiųsti programišiaus pakištą sertifikatą egzistuoja praktiškai kiekvienos komunikacijos su serveriu metu.

Kaip elgtis HTTP tinklalapiuose, kurie turi vartotojų prisijungimo zoną

Kol kas prisijungimas prie visų tinklalapių naudojant tik HTTPS protokolą tikrai nėra būtinas. Pavyzdžiui, kartais HTTP protokolą yra parankiau naudoti dėl spartos, kadangi HTTPS kriptografiniai mechanizmai papildomą apkrovą sukuria ne tik serveriui, bet ir vartotojui. Be to, reikia nepamiršti, kad siekiant kontroliuoti išduodamus SSL sertifikatus, jie yra mokami. Tai puiki bereikšmių skaitmeninių sertifikatų išdavimo ribojimo priemonė, tačiau kartais tai gali tapti pagrindine priežastimi, kodėl pelno nenešantys/nesiekiantys tinklalapiai HTTPS protokolo naudoti nesiryžta.

Trumpai tariant, HTTPS protokolas nebūtinas, kai interneto puslapį galima naudoti, neprisijungus prie paskyros. Tačiau vis daugiau tinklalapių personalines paskyras turi, bet kol kas HTTPS protokolo vis tiek nenaudoja. Tas galioja net ir įprastiems žiniasklaidos informacinėms svetainėms, vis dažniau siūlančioms personalizuotą vartotojo zoną ar netgi mokamas paslaugas.

Kadangi dauguma vartotojų įpratę visur naudoti tuos pačius prisijungimo duomenis, šiuo atveju kur kas racionaliau HTTP tinklalapiams rinktis ne tik kitą slaptažodį, bet taip pat ir kitą prisijungimo vardą. Taip elgdamasis, vartotojas akivaizdžiai vertina savo paties saugumą, kadangi programišius, išgavęs tokius prisijungimo duomenis, jų negalės panaudoti bandydamas prisijungti, pavyzdžiui, prie e. pašto ar kitų, kur kas privatesnių paslaugų.

• http://www.howtogeek.com/181767/htg-explains-what-is-https-and-why-should-i-care
• http://poxse.com/security/what-is-the-difference-between-http-and-https
• https://www.instantssl.com/ssl-certificate-products/https.html
• https://www.sslshopper.com/why-ssl-the-purpose-of-using-ssl-certificates.html

J. Bunevičius

Komentarai (1)