Hlavní navigace

HTTPS by mělo být všude

Petr Krčmář 23. 9. 2015

Celý internet směřuje k šifrování. Bezpečnostních kauz přibývá a s nimi se násobí úsilí rozšířit i šifrování mezi uživatelem a službami. HTTPS by se mělo stát standardem, který bude nejen očekáván, ale i vyžadován na mnoha úrovních: od prohlížečů až po uživatele. Výsledkem bude lepší web pro všechny.

Internet směřuje k šifrování. To je dobrá zpráva, která přichází jako reakce na vlnu odposlechů, šmírování a přibývajících útoků. Technicky je vše dobře připraveno, servery i klientský software umí potřebné protokoly i šifrovací algoritmy. Jediným problémem tak zůstává dostupnost důvěryhodných certifikátů, které doposud bylo třeba platit, ověřovat a hlídat jejich platnost.

To byl důvod, proč správci často na podporu HTTPS rezignovali. Byť existovaly způsoby, jak získat certifikát velmi levně nebo dokonce zdarma, za tu práci jim to nestálo. Všechny výše zmíněné problémy by měly v listopadu zmizet spolu s příchodem certifikační autority Let's Encrypt, která nabídne důvěryhodné certifikáty všem, zdarma a s minimem konfigurace.

Padne tak poslední překážka v nasazování HTTPS a to by se mělo stávat čím dál větším standardem i na menších webech. Ty velké celosvětové už ho za samozřejmost považují. Nastal čas, abyste ho za samozřejmost začali považovat i vy a zelený zámeček se rozšířil i do těch nejzapadlejších koutů webu. HTTPS by mělo být všude.

Redakční poznámka: Root.cz doposud podporu HTTPS nemá a věřte, že kdyby to záleželo jen na redakci, má ji deset let. Ovšem ledy se hnuly a měli bychom se dočkat již velmi brzy.

Nezměněný obsah

Jen díky plnému end-to-end šifrování si můžete být jisti, že nikdo po cestě nezmanipuloval obsah, na který se díváte. Existuje celá řada způsobů, jak toho dosáhnout, stejně jako důvodů. Může jít o vyloženě zlé úmysly, ale třeba i jen o úpravu výhodnou pro provozovatele místní sítě.

Existují například hotspoty s „free internetem“, které do prohlížených webových stránek vkládají vlastní měřicí kódy nebo dokonce reklamy. Bez šifrování si nemůžete být nikdy jisti, že něco nebylo přidáno, upraveno či odstraněno.

Rovněž různé proxy servery na cestě mohou provádět zásahy, o které nemáte zájem, nebo mohou logovat konkrétní části provozu. Nad nešifrovanými daty nemáte naprosto žádnou kontrolu. Jedině správně nasazené HTTPS vám zaručí, že data prošla bez změny od startu až k cíli.

Bezpečná identita

Mnoho webů je dnes vázáno na identitu uživatele, k mnoha službám se běžně přihlašujeme. Je proto velmi rozumné, aby přihlašovací údaje neputovaly otevřeným internetem. Kdokoliv by je mohl odposlechnout a zneužít. Při dnešním rozšíření různých hotspotů a běžném užívání notebooků, tabletů a mobilů je velmi snadné jednoduše sedět v kavárně a „poslouchat“ cvrkot okolo. Dokonce na to existují velmi pohodlné nástroje, které dokáže ovládat kdokoliv.

Ovšem i když údaje neputují v otevřené variantě a používá se nějaký druh challenge response přihlašování, později je k identifikaci uživatele používána už jen uložená cookie, která může být opět triviálně odchycena a celé sezení může být uživateli uneseno pod rukama. V dnešní době mobility už nikdo kontrolu podle IP adresy nepoužívá. Je zkrátka příliš nepohodlné se pořád přihlašovat.

Prokazování identity se ale týká i serverů samotných. V nedávné době se začalo přibývat útoků na domácí routery, ve kterých útočník změní nastavení DNS a z vlastních rekurzivních serverů pak začne servírovat vlastní odpovědi. Je pak schopen zmanipulovat počítač oběti tak, že místo pravých webů začne navštěvovat jejich falešné phishingové kopie.

Uživatel pak vlastně vůbec na svém počítači nemá šanci zjistit, že je něco špatně. Útočník mu klidně podvrhne falešnou stránku Google.com, nechá ho přihlásit a získá jméno i heslo. Co ovšem nedokáže, je zkopírovat z původních stránek privátní klíč patřící k platnému certifikátu. Jinými slovy při požadavku na HTTPS verzi webu jste v bezpečí a dokážete snadno rozpoznat, že druhá strana je skutečně tím, s kým si přejete komunikovat.

Přecitlivělost na citlivost

Dokud nenasadíme šifrování všude, budeme muset řešit otázku, která data jsou pro uživatele citlivá a která ještě ne. Je tahle akce ještě veřejnou záležitostí nebo už uživatel překročil hranici a měl by být chráněn. Dokud jen čte, může být na HTTP, jakmile začne psát, musíme začít šifrovat?

„Nevkládejte citlivé informace do naší stránky, není bezpečná proti odposlechu.“ Takový nápis by měl stát na mnoha webech, které se necitelně rozhodnou být vhodné jen pro necitlivé informace. Proč to ale vlastně máme rozlišovat a rozhodovat o kvalitě dat?

Když zavedeme šifrování všude, přestaneme tuto otázku řešit. Jednoduše přestaneme data dělit na citlivá a běžná a budeme mít prostě data. Nastavíme vysoký standard týkající se dat jako takových, citlivost pak můžeme ponechat na uživateli, protože jen ten ví, která data může zveřejňovat a která ne.

Rostoucí důvěra

Pokud začneme šifrování považovat za standard, začne se mu věnovat více pozornosti a uživatelé jej začnou brát jako standard. Prohlížeče budou moci otočit svou logiku a místo zdůrazňování HTTPS na některých webech budou zdůrazňovat nešifrované spojení na několika málo zbývajících. Šifrované spojení se tak stane „tím normálním“.

To opět zvýší důvěru uživatelů a posílí celé šifrované prostředí. Pokud začneme šifrovat i „méně důležitá“ data, pomůžeme tím i těm „důležitějším“. Nešifrovaný obsah tak bude postupně čím dál více vytlačován na okraj sítě a útočníkům se nevyplatí zaměřovat se na malou hrstku uživatelů, kteří budou okrajové weby používat.

Vyšší rychlost

Šifrování webu má také pozitivní dopad na rychlost jeho načítání. Moderní prohlížeče totiž podporují protokol SPDY a z něj vycházející HTTP/2, dovolují ale jejich použití pouze zároveň s HTTPS. Pokud je nový protokol použit, mohou být k přenosu použity takzvané proudy, které dovolují paralelně vyřizovat několik požadavků zároveň. Detailně to v článku Jak funguje nový protokol HTTP/2 popisuje Pavel Satrapa.

Reálně je možné zrychlit načítání webu o desítky procent, jak si můžete sami vyzkoušet na webu HTTPvsHTTPS.com. Web načítá 360 různých objektů (v tomto případě obrázků) a měří, jak si povede šifrovaná a nešifrovaná varianta.

Zrychlení o více než 50 %.

Zda konkrétní server podporuje SPDY, zjistíte na webu SPDYcheck.org.

HTTPS je budoucnost současnost

Internet jednoznačně směřuje k šifrování. Velké společnosti spolu s internetovou komunitou dělají vše proto, aby se stalo standardem, který máme nejen očekávat, ale i vyžadovat. Není to žádná budoucnost, už teď se to děje, velké organizace už vydaly doporučení a nastavily loď správným směrem.

IETF v RFC7258 říká, že všudypřítomné sledování je útokem samo o sobě a že nové protokoly by měly šifrování považovat za výchozí stav. W3C říká, že web by měl aktivně upřednostňovat šifrované spojení. Google zvýhodňuje šifrované weby. Tvůrci webových prohlížečů se už snaží prosadit upozorňování na nezašifrovaný web.

Cílem celé internetové komunity je udělat ze šifrování standard. Výsledkem bude levnější, rychlejší a jednodušší nasazení pro všechny. Iniciativa Let's Encrypt je jen první velkou vlaštovkou, věřte, že přijdou další. Dojde ke změně software, dokumentace a služeb tak, aby bylo nasazení šifrování velmi snadné a nakonec aby nevyžadovalo vůbec žádné úsilí. Pak HTTP zmizí stejně, jako kdysi zmizel telnet.

Našli jste v článku chybu?

24. 9. 2015 10:16

Když se navrhuje bezpečnost, musí se navrhovat pořádně a ne s vědomím toho, že jsem tam nechal prostor pro man-in-the-middle útok, protože každý si může vymyslet svůj certifikát a na webu to projde. Taková věc nedává smysl, já bych takhle třeba SSH používat fakt nechtěl. Čili nějaký systém nezpochybnitelné důvěry v pravost klíčů potřebujeme. Jestli to bude certifikát, otisk v doméně nebo telepatický přenos je druhá věc. Ale nemůžeme na to rezignovat s tím, že to je uživateli buřt a nevadí to.

23. 9. 2015 8:58

Problém je, že z hlediska uživatele zelený zámeček jako zelený zámeček. Takže jestli je certifikát DV nebo OV, uživatel nepozná. Jediná změna je v EV certifikátech, ale otázka je, jak moc to uživatelé vnímají. Proto je ten systém vlastně nabořený, protože žádné pořádné ověřování proběhnout nemusí a přesto od „certifikační“ autority dostanu vystavený certifikát, že jsem ten, kdo jsem. DANE tohle řeší elegantně, vystavím si sám, autoritu vynechám a prohlášení o pravosti doručím bezpečnou cestou.

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Často čůrá a má žízeň? Příznaky dětské cukrovky

Často čůrá a má žízeň? Příznaky dětské cukrovky

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel