Ano ang HTTPS, at Bakit Dapat Akong Mag-ingat?
HTTPS, ang icon ng lock sa address bar, isang naka-encrypt na koneksyon sa website — kilala ito bilang maraming bagay. Habang dati itong nakalaan para sa mga password at iba pang sensitibong data, ang buong web ay unti-unting iniiwan ang HTTP sa likod at lumilipat sa HTTPS.
Ang "S" sa HTTPS ay nangangahulugang "Secure". Ito ang ligtas na bersyon ng karaniwang "hypertext transfer protocol" na ginagamit ng iyong web browser kapag nakikipag-usap sa mga website.
Paano Nalagay sa Panganib ang HTTP
Kapag kumonekta ka sa isang website na may regular na HTTP, titingnan ng iyong browser ang IP address na tumutugma sa website, kumokonekta sa IP address na iyon, at ipinapalagay na konektado ito sa tamang web server. Ipinadala ang data sa koneksyon sa malinaw na teksto. Ang isang eavesdropper sa isang Wi-Fi network, ang iyong service provider ng internet, o mga ahensya ng intelihensiya ng gobyerno tulad ng NSA ay maaaring makakita ng mga web page na iyong binibisita at ang data na inililipat mo nang pabalik-balik.
KAUGNAYAN:Ano ang Encryption, at Paano Ito Gumagana?
Mayroong malalaking problema dito. Para sa isang bagay, walang paraan upang mapatunayan na nakakonekta ka sa tamang website. Baka ikaw isipin mo na-access mo ang website ng iyong bangko, ngunit nasa isang nakompromiso na network na nagdidirekta ka sa isang impostor na website. Ang mga password at numero ng credit card ay hindi dapat ipadala sa isang koneksyon sa HTTP, o maaaring madaling nakawin ng isang eavesdropper ang mga ito.
Nagaganap ang mga problemang ito dahil ang mga koneksyon sa HTTP ay hindi naka-encrypt. Ang mga koneksyon sa HTTPS ay.
Paano ka Pinoprotektahan ng HTTPS Encryption
KAUGNAYAN:Paano Pinatutunayan ng Mga Browser ang Mga Pagkakakilanlan sa Website at Pinoprotektahan Laban sa mga Imposter
Ang HTTPS ay mas ligtas kaysa sa HTTP. Kapag kumonekta ka sa isang naka-secure na server ng HTTPS — ang mga secure na site tulad ng iyong bangko ay awtomatikong ire-redirect ka sa HTTPS — susuriin ng iyong web browser ang sertipiko ng seguridad ng website at mapatunayan na ibinigay ito ng isang lehitimong awtoridad sa sertipiko. Tinutulungan ka nitong matiyak na, kung nakikita mo ang "//bank.com" sa address bar ng iyong web browser, talagang nakakonekta ka sa totoong website ng iyong bangko. Ang kumpanya na nagpalabas ng mga sertipiko ng seguridad ng vouches para sa kanila. Sa kasamaang palad, ang mga awtoridad sa sertipiko kung minsan ay naglalabas ng masamang mga sertipiko at nasisira ang system. Bagaman hindi ito perpekto, bagaman, ang HTTPS ay mas ligtas pa rin kaysa sa HTTP.
Kapag nagpadala ka ng sensitibong impormasyon sa isang koneksyon sa HTTPS, walang sinuman ang maaaring mag-eavedrop dito sa pagbiyahe. Ang HTTPS ay kung bakit posible ang ligtas na online banking at shopping.
Nagbibigay din ito ng karagdagang privacy para sa normal na pagba-browse sa web din. Halimbawa, ang search engine ng Google ay nagde-default ngayon sa mga koneksyon sa HTTPS. Nangangahulugan ito na hindi makita ng mga tao ang hinahanap mo sa Google.com. Ang parehong napupunta para sa Wikipedia at iba pang mga site. Dati, makikita ng sinumang nasa parehong network ng Wi-Fi ang iyong mga paghahanap, tulad ng iyong tagabigay ng serbisyo sa Internet.
Bakit Gusto ng Lahat na Iwanan ang HTTP sa Likod
Ang HTTPS ay orihinal na inilaan para sa mga password, pagbabayad, at iba pang sensitibong data, ngunit ang buong web ay gumagalaw patungo rito.
Sa USA, pinapayagan ang iyong service provider ng Internet na sumulyap sa iyong kasaysayan sa pagba-browse sa web at ibenta ito sa mga advertiser. Kung lumipat ang web sa HTTPS, hindi makita ng iyong provider ng serbisyo sa Internet ang dami ng data na iyon, bagaman — makikita lamang nila na kumokonekta ka sa isang tukoy na website, taliwas sa aling mga indibidwal na pahina na iyong tinitingnan. Nangangahulugan ito ng higit pang privacy para sa iyong pag-browse.
Kahit na mas masahol pa, pinapayagan ng HTTP ang iyong service provider ng Internet na pakialaman ang mga web page na iyong binibisita, kung nais nila. Maaari silang magdagdag ng nilalaman sa web page, baguhin ang pahina, o kahit alisin ang mga bagay. Halimbawa, maaaring gamitin ng mga ISP ang pamamaraang ito upang mag-iniksyon ng mas maraming mga ad sa mga web page na iyong binibisita. Nag-injected na ang Comcast ng mga babala tungkol sa cap ng bandwidth nito, at si Verizon ay nag-injected ng isang supercookie na ginamit para sa pagsubaybay sa mga ad. Pinipigilan ng HTTPS ang mga ISP at sinumang nagpapatakbo ng isang network mula sa pakialaman sa mga web page na tulad nito.
At, syempre, imposibleng pag-usapan ang tungkol sa pag-encrypt sa web nang hindi binanggit ang Edward Snowden. Ang mga dokumento na naipalabas ni Snowden noong 2013 ay ipinapakita na sinusubaybayan ng gobyerno ng Estados Unidos ang mga web page na binisita ng mga gumagamit ng Internet sa buong mundo. Nag-apoy ito sa ilalim ng maraming mga kumpanya ng teknolohiya upang lumipat patungo sa mas mataas na pag-encrypt at privacy. Sa pamamagitan ng paglipat sa HTTPS, ang mga pamahalaan sa buong mundo ay may isang mas mahihirap na oras sa pagtingin sa lahat ng iyong mga gawi sa pag-browse.
Paano Pinasisigla ng Mga Browser ang Mga Website na Itapon ang HTTP
Dahil sa kagustuhang lumipat sa HTTPS, lahat ng mga bagong pamantayan na idinisenyo upang gawing mas mabilis ang web ay nangangailangan ng pag-encrypt ng HTTPS. Ang HTTP / 2 ay isang pangunahing bagong bersyon ng HTTP protocol na suportado sa lahat ng pangunahing mga web browser. Nagdaragdag ito ng compression, pipelining, at iba pang mga tampok na makakatulong na gawing mas mabilis ang pag-load ng mga web page. Ang lahat ng mga web browser ay nangangailangan ng mga site upang magamit ang pag-encrypt ng HTTPS kung nais nila ang kapaki-pakinabang na mga bagong tampok na HTTP / 2. Ang mga modernong aparato ay nakatuon sa hardware upang maproseso ang AES na naka-encrypt na hinihiling din ng HTTP. Nangangahulugan ito na ang HTTPS ay dapat na talagang mas mabilis kaysa sa HTTP.
Habang ang mga browser ay ginagawang kaakit-akit ang HTTPS na may mga bagong tampok, ginagawa ng Google na hindi nakakaakit ang HTTP sa pamamagitan ng parusa sa mga website para sa paggamit nito. Plano ng Google na i-flag ang mga website na hindi gumagamit ng HTTPS bilang hindi ligtas sa Chrome, at nais ng Google na unahin ang mga website na gumagamit ng HTTPS sa mga resulta sa paghahanap ng Google. Nagbibigay ito ng isang malakas na insentibo para sa mga website na lumipat sa HTTPS.
Paano Suriin Kung Nakakonekta Ka sa Isang Website Gamit ang HTTPS
Maaari mong sabihin na nakakonekta ka sa isang website na may koneksyon sa HTTPS kung ang address sa address bar ng iyong web browser ay nagsisimula sa "//". Makakakita ka rin ng isang icon ng lock, na maaari mong i-click para sa karagdagang impormasyon tungkol sa seguridad ng website.
Medyo naiiba ito sa bawat browser, ngunit ang karamihan sa mga browser ay magkatulad ang icon na // at lock. Itinago ngayon ng ilang mga browser ang "//" bilang default, kaya makikita mo lang ang isang icon ng lock sa tabi ng domain name ng website. Gayunpaman, kung nag-click ka o nag-tap sa loob ng address bar, makikita mo ang "//" na bahagi ng address.
KAUGNAYAN:Bakit Ang Mapanganib na Paggamit ng isang Public Wi-Fi Network, Kahit na Pag-access sa Mga Naka-encrypt na Website
Kung gumagamit ka ng hindi pamilyar na network at kumonekta ka sa website ng iyong bangko, tiyaking nakikita mo ang HTTPS at ang tamang address ng website. Tinutulungan ka nitong matiyak na talagang nakakonekta ka sa website ng bangko, kahit na hindi ito isang walang palya na solusyon. Kung hindi ka nakakakita ng isang tagapagpahiwatig ng HTTPS sa pahina ng pag-login, maaari kang makakonekta sa isang impostor na website sa isang nakompromisong network.
Abangan ang Mga Trick sa Phishing
KAUGNAYAN:Online Security: Pagwawasak sa Anatomy ng isang Email sa Phishing
Ang pagkakaroon ng HTTPS mismo ay hindi isang garantiya na lehitimo ang isang site. Ang ilang mga matalinong phisher ay napagtanto na ang mga tao ay naghahanap para sa HTTPS tagapagpahiwatig at icon ng lock, at maaaring lumabas sa kanilang paraan upang magkaila ang kanilang mga website. Kaya dapat kang maging maingat pa rin: huwag mag-click sa mga link sa mga email sa phishing, o maaari mong makita ang iyong sarili sa isang pahina ng matalinong pagkubli. Ang mga scammer ay maaaring makakuha ng mga sertipiko para sa kanilang mga scam server. Sa teorya, pinipigilan lamang sila mula sa paggaya sa mga site na hindi nila pag-aari. Maaari kang makakita ng isang address tulad ng //google.com.3526347346435.com. Sa kasong ito, gumagamit ka ng isang koneksyon sa HTTPS, ngunit nakakonekta ka talaga sa isang subdomain ng isang site na nagngangalang 3526347346435.com — hindi sa Google.
Maaaring gayahin ng ibang mga scammer ang icon na lock, binabago ang favicon ng kanilang website na lilitaw sa address bar sa isang lock upang subukang linlangin ka. Abangan ang mga trick na ito kapag sinusuri ang iyong koneksyon sa isang website.