HTTPS

Материал из Неолурк
Перейти к навигации Перейти к поиску
Информационное видео: как работает HTTPS?
Прееход от HTTP на HTTPS

HTTPS — защищенный протокол, сделанный для замены устаревшего HTTP (но фактически является его расширением с добавленным шифрованием), отличающегося тем, что данные передаются прямым текстом и можно легко их перехватить (что стало особенно актуально после появления WiFi-сетей, так что злоумышленники могли легко вторгаться в сети и воровать информацию). При передаче информации через HTTPS применяются сертификаты и большая часть информации зашифрована, так что перехватить её уже гораздо сложнее (только при наличии собственного сервера на пути передачи данных, ставящего поддельный сертификат для расшифровки).

В настоящее время всё большее количество сайтов переходит на HTTPS в качестве основного и единственного протокола, поскольку HTTP считается откровенно небезопасным. Ряд сайтов при этом поддерживают обращение с использованием сразу обоих протоколов, но рекомендовано использование именно HTTPS (что имеет только преимущества).

Описание[править]

HTTPS работает на порту 443, в отличие от стандартного 80, для его включения достаточно просто установить модуль, а также сделать установку сертификата сайта и ключа шифрования (есть разные предложения, в том числе бесплатные, которые вполне подойдут обычным пользователям, платные сертификаты для влиятельных сайтов, нуждающихся в полноценной защите). В целом настройка производится очень быстро. Правильность сертификата проверяется браузером автоматически и показывается значок замка, если же неверный — большое красное предупреждение (так что важно следить за актуальностью сертификата).

Работа HTTPS поддерживается всем современным программным обеспечением.

На некоторых сайтах имеется опасная практика, когда основной сайт доступен по HTTPS, а некоторые дополнительные подгружаемые элементы (типа картинок или скриптов) по HTTP. В таком случае возможен взлом протокола и получение доступа к информации.

В нынешней версии протокола HTTPS также открыто передаются некоторые заголовки, в связи с чем для защиты от ботов и спама применяется технология TLS-финерпринта, где эти заголовки сравниваются с паттернами известных вредоносных приложений и производится блокировка, если найдено совпадение. Браузер Firefox поддерживает запрет фингерпринтинга (при попытке его сделать информация просто не посылается), но ряд сайтов прекращают работать. В разработке находится новый стандарт, в котором весь пакет будет зашифрован.

Имеется недостаток с HTTPS, связанный с тем, что при его использовании в заголовках страницы шифруется и адрес страницы, так что невозможно без подмены сертификата определить, куда обращается пользователь, а следовательно и заблокировать по названию страницы. Из-за этого при блокировках государственными органами HTTPS-сайты блокируются целиком. Вместо привычной информационной заглушки при таких блокировках выдаётся ошибка, сходная с той, которая выдаётся, когда сайт просто физически недоступен из-за поломки или технических работ. Это не позволяет пользователю определить, есть ли блокировка и нужно ли прибегать к спецсредствам вроде VPN для её обхода (так что прошаренные анонимы привыкли при отказе сайта открываться сразу проверять с других IP-адресов или сервисов вроде Down for Everyone or Just Me).

Для расшифровки пакетов HTTPS применяется вставка своего сервера между отправителем и получателем, потом подмена сертификата. В таком случае нарушитель спокойно расшифровывает все сообщения. Например, в таком было замечено правительство Китая, недовольное невозможностью слежки за гражданами.

В целом использование HTTPS, к примеру, минимизирует возможности государственных органов по применению систем анализирования трафика вроде российской СОРМ.

Лоббирование[править]

С некоторого момента поисковая система Google сообщила о том, что сайты с включённой системой https будут получать определённый приоритет. В 2020 году высказывались планы запретить показ сайтов без https в популярнейшем веб-обозревателе Google Chrome. Несмотря на все угрозы показ сайтов продолжился, в то же время иконки, показывающие отсутствие протокола в адресной строке стали более заметными и в них даже появился восклицательный знак.