Логотип
19 апреля 2019 в 11:04 Интернет 49 0

Безопасны ли HTTPS сайты на самом деле?

В Интернете бытует мнение, что если сайт работает по HTTPS, то он абсолютно безопасен, является честным и доверенным. Однако, так ли это? Давайте разберемся.

Прежде всего отметим, что при таком защищенном соединении в адресной строке появляется вот такой зеленый замок.

Наличие защищенного соединения

А теперь откроем Википедию, и посмотрим, что же такое HTTPS. 

HTTPS (аббр. от англ. HyperText Transfer Protocol Secure) — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности.

Из этого, можно сделать вывод, что по данный протокол всего лишь шифрует передаваемые данные по пути браузер - веб-сервер. Почитав Википедию еще немного, мы наткнемся на такое предложение.

Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения — от снифферских атак и атак типа man-in-the-middle, при условии, что будут использоваться шифрующие средства и сертификат сервера проверен и ему доверяют.

То есть, по сути, любой сайт с наличием SSL сертификата может работать по HTTPS. Отсюда можно сделать вывод, что сайту нужен SSL сертификат, который можно получить в любом центре сертификации. 

HTTPS

Но делает ли это его полностью безопасным?

На данный момент, любой вебмастер может купить себе такой сертификат и установить его на свой сайт. Самый дешевый стоит всего 5 долларов. Установил и все, у тебя есть зеленый замочек. Если он есть на сайте, это говорит вот о чем:

  • Все передаваемые данные зашифрованы.
  • Ваши логины и пароли не будут перехвачены.
  • Ваши платежные данные и данные карт не будут перехвачены.
  • В страницу не могут быть встроены инъекции. Вы увидите именно то, что передает вам сервер (однако инъекция может быть встроена непосредственно на выходе, например с помощью расширения браузера).

Но наличие зеленого замка совсем не говорит о следующем. Мы не знаем:

  • Добросовестный администратор или нет. Сразу же приведу пример: если некий сервис, предлагающий услуги гаранта имеет зеленый замочек, не значит, что этот гарант вас не кинет.
  • Сохраняет ли он данные на своем сервере и передает ли он их кому-нибудь.
  • Распространяет ли сайт различного рода малварь или нет.

В общем, если сайт работает по HTTPS вовсе не значит, что он не может быть фишинговым или распространять вредоносное ПО. Сайты, для которых выдаются сертификаты никто не проверяет, они выписываются автоматически.

Несомненно, по жалобе сертификат могут и отозвать, но только если пожалуется серьезная компания или будет установлено, что сайт создан для фишинга и выдает себя за совсем другой ресурс.


Однако есть доверенные сертификаты, наличие которых явно говорит и том, что компания солидная и трастовая. Их всем подряд не дают, так как проверка тут обязательна. При соединении с таким сайтом вы увидите рядом с замком еще название компании.

Доверенный сертификат


1

Нашли ошибку? Выделите и нажмите Ctrl + Enter

Это может быть интересно

Комментариев нет, будь первым!