Зачем нужен HTTPS ?

HTTPS

Интервью с Даниэлем Реслером (Daniel Roesler) — сооснователем и техническим директором UtilityAPI.

В свободное время Даниэль разрабатывает security — и privacy-приложения и участвует в качестве добровольца в движении по защите конфиденциальности «Восстановите Четвёртую поправку» (Restore the Fourth). В этом году на Техас Linux Fest он прочитал лекцию If you’re not using HTTPS, your website is bad, and you should feel bad!.

— Прежде всего расскажите почему важен протокол HTTPS ? В чем преимущество его использования?
— HTTPS защищает владельцев и пользователей сайта от вмешательств сетевых операторов. Он предусматривает три защиты: аутентификацию данных, целостность и конфиденциальность. HTTPS гарантирует, что веб-сайт, который вы загрузили отправлен реальным владельцем этого сайта, ничего не было добавлено или подвергнуто цензуре и никто не прочтет содержимое передаваемых данных.

Мы фиксируем все больше и больше доказательств манипулирования сайтами: добавление вещей, которые владельцы и пользователи сайта не добавляли. Однако, браузеры начинают помечать HTTP сайты, как небезопасные, так что в ближайшие годы не-HTTPS сайты начнут забрасываться предупреждениями от Chrome и Firefox.

— HTTPS уместно использовать для всех типов сайтов?
— Да, все веб-сайты должны использовать HTTPS по умолчанию. Сетевые операторы начинают манипулировать с не-HTTPS запросами. Это значит, что даже если у вас есть статический «только для чтения» блог или non-privacy-sensitive сайт, то оператор может вставлять контент в ваш сайт для отслеживания или показа рекламы пользователям без вашего согласия.

Например, если вы посетите http://www.redhat.com во время полета на Southwest Airlines, то увидите рекламный баннер в верхней части этого сайта. Если ваш сайт генерирует доход от рекламы оператор может заменить ваши рекламные объявления собственными, таким образом, украдет ваш доход от рекламы.

— Самая главная проблема в применении HTTPS на сайтах?
— Существуют две основные проблемы. Во-первых, для больших сайтов, использующих большое количество сторонних сервисов (рекламные сети, CDNs и т.д.), нужно, чтобы все эти сервисы поддерживали протокол HTTPS прежде чем главный сайт сможет переключится на протокол HTTPS. Постепенно, эти сервисы начинают поддерживать HTTPS. Это значит, что будет все легче и легче большим сайтам переходить на протокол HTTPS.

Во-вторых, для небольших / некоммерческих сайтов процесс получения и установки сертификата HTTPS — довольно запутанный процесс. Новые инструменты — SSLMate и Let’s Encrypt облегчают и автоматизируют этот процесс.

— Реализовать HTTPS легко?
— Да, становится все легче. Есть много онлайн-учебников по получению бесплатного сертификата HTTPS и установке его на сервере. Кроме того, многие веб-фреймворки имеют документацию по использованию HTTPS с их фреймоворками. Наконец, с появлением Let’s Encrypt, получение и установке сертификата HTTPS будет встроена в процесс установки веб-сервера по умолчанию.

— Реализация HTTPS означает полную безопасность сайта?
— Нет, но это значительно помогает. Как и все программное обеспечение, реализация HTTPS может содержать баги и нуждается в периодическом обновлении. На Linux это легко сделать, используя менеджер пакетов. Однако, пока HTTPS защищает данные во время обмена, хакеры могут по-прежнему атаковать с любой стороны соединения (сервер или клиент) с помощью традиционных вредоносных программ. Владельцам и пользователям сайта по-прежнему нужно держать свои системы обновленными, чтобы предупредить такие виды атак.

Источник: opensource.com, 21 августа 2015


Перевод выполнен abv24.com




Опубликовано 10.09.2015 в 4:36 пп · Автор abv24 · Ссылка
Рубрики: Технологии · Теги: , ,

Написать комментарий


@Mail.ru