Torek, 24. 7. 2018, 4.01
6 let, 2 meseca
Kaj morate vedeti, če boste danes videli to opozorilo
Danes izide Chrome 68, nova različica Googlovega spletnega brskalnika, ki ga na osebnih računalnikih uporabljata skoraj dve tretjini Slovencev. Ena od poglavitnih novih lastnosti Chrome 68 bo vidnejše opozarjanje na spletne strani, ki ne zavarujejo komunikacije z uporabnikom. Kaj natanko bo pomenila oznaka "Ni varno", ki jo bomo lahko videli ob imenih takšnih spletnih strani?
Google je že letos pozimi napovedal, da bo Chrome 68 še bolj pritisnil na lastnike spletnih strani, ki ne uporabljajo varnega protokola za zaščito izmenjave podatkov med strežnikom, računalnikom, na katerih gostuje spletna stran, in brskalnikom uporabnika.
Od danes, ko je brskalnik Chrome mogoče posodobiti na različico 68, pri večini uporabnikov bo posodobitev potekala samodejno, bodo vse spletne strani, ki še vedno uporabljajo protokol za izmenjavo podatkov HTTP namesto varnejšega HTTPS, označene z opozorilom "Ni varno" oziroma Not secure, če uporabljate angleški Chrome.
Opozorilo se bo pojavilo v naslovni vrstici brskalnika, torej tam, kamor vnesemo ime spletne strani, ko jo želimo obiskati.
Protokol za komunikacijo HTTP, na katerem je Tim Berners-Lee pred skoraj 30 leti zasnoval svetovni splet, morebitnemu napadalcu namreč omogoča, da prestreže podatke, ki si jih uporabnik izmenjuje s spletno stranjo, na primer uporabniška imena in gesla, ter jih prebere kot navadno besedilo.
HTTP je mogoče zlorabiti tudi na druge načine, na primer tako, da napadalec žrtvi servira lažno različico spletne strani in njegove osebne podatke pridobi tako.
Internetno podjetje Cloudflare je v ponedeljek opozorilo, da bo si bo oznako "Ni varno" po izidu brskalnika Chrome 68 prislužila večina od milijona najbolj obiskanih spletnih strani, saj še vedno uporabljajo starejši protokol HTTP namesto varnejšega HTTPS.
HTTPS od upravljavca spletne strani medtem zahteva uporabo digitalnega potrdila oziroma varnostnega certifikata (SSL ali TLS), s katerim spletna stran doseže svojo istovetnost, in uporabnikovemu brskalniku šifrira podatke, ki se pretakajo med njim in strežnikom. Če bi napadalec prestregel te podatke, bi videl le nesmiselno zaporedje znakov.
Takole je videti naslovna vrstica, kadar spletna stran uporablja protokol za izmenjavo podatkov HTTPS.
Kot so pojasnili pri Googlu, bodo lastnike spletnih strani, ki še vedno uporabljajo protokol HTTP, z opozorili, da spletna strani ni varna, v brskalniku Chrome od zdaj naprej nadlegovali zato, da bi čim prej opravili nadgradnjo na HTTPS in zavarovali uporabnike.
Pridobitev digitalnega potrdila za spletno stran je zdaj sicer lažja in cenejša kot kdaj prej. Google seveda ponuja svoje rešitve, spletne strani pa lahko za certifikat zaprosijo tudi overitelja digitalnih potrdil Let's Encrypt in dobile ga bodo brezplačno.
Overitelj digitalnih potrdil (Certificate Authority po angleško, zanje se praviloma uporablja okrajšava CA), kot je Let's Encrypt, izdaja digitalna potrdila za spletne strani, prek lastnega korenskega potrdila, ki je privzeto nameščen v večini najbolj priljubljenih spletnih brskalnikov (Chrome ali Firefox, na primer) pa nato preverja, ali se digitalno potrdilo spletne strani ujema s korenskim potrdilom. Če se, komunikacija med spletno stranjo in uporabnikom lahko steče. Drugi znani overitelji digitalnih potrdil so Symantec, Comodo, Thawte, Digicert, GlobalSign.
Preberite tudi:
1