HTTPS je téměř všude. Proč tedy není internet nyní bezpečný?

Proč je internet stále plný nebezpečí, i když je většina provozu HTTPS?

Dnes se velká část webové komunikace odehrává skrze šifrované připojení HTTPS, což je obecně vnímáno jako „bezpečné“. Google dokonce upozorňuje na weby, které nejsou šifrované protokolem HTTP, jako na „nezabezpečené“. Přesto se na internetu stále setkáváme s malwarem, phishingovými útoky a dalšími hrozbami. Jak je to možné?

„Zabezpečené“ připojení nezaručuje bezpečnost obsahu webu

V minulosti se v adresním řádku prohlížeče Chrome u HTTPS stránek zobrazoval nápis „Secure“ a zelený zámek. Dnes se u moderních verzí Chromu setkáváme pouze s malou šedou ikonou zámku bez tohoto nápisu.

Tato změna je dána tím, že HTTPS je nyní považováno za základní standard. Mělo by být automatické, že připojení je šifrované, a proto Chrome už pouze upozorňuje na „nezabezpečené“ připojení HTTP.

Nápis „Secure“ byl odstraněn i z důvodu, že mohl být zavádějící. Mohlo se zdát, že Chrome zaručuje bezpečnost celého webu a jeho obsahu. To ale není pravda. I na HTTPS stránce se můžeme setkat s malwarem nebo phishingovými praktikami.

Jak funguje HTTPS?

HTTPS, neboli Hypertext Transfer Protocol Secure, je rozšířením standardního HTTP protokolu o vrstvu šifrování.

Toto šifrování zajišťuje ochranu přenášených dat před odposloucháváním a úpravami. Díky tomu jsou například údaje o platební kartě při odesílání na web chráněny.

Zjednodušeně řečeno, HTTPS vytváří bezpečný tunel mezi uživatelem a webovou stránkou. Nikdo tak nemůže sledovat ani měnit přenášená data. Tím ale zabezpečení internetu nekončí.

Co HTTPS nezaručuje?

HTTPS je sice velice důležitý protokol a měly by ho používat všechny webové stránky, ale zaručuje pouze zabezpečené spojení s daným webem. Nenaznačuje nic o bezpečnosti samotného obsahu webu. Znamená jen to, že provozovatel stránky si zakoupil certifikát a nastavil šifrování pro zajištění spojení.

I web s nebezpečným obsahem může používat HTTPS. Tím pádem je zaručeno, že stahování probíhá bezpečně, ale samotný stahovaný soubor nemusí být bezpečný.

Zločinci si mohou zaregistrovat doménu, která se podobá oficiálnímu webu banky, získat certifikát a vytvořit phishingovou stránku. I tato podvodná stránka bude mít „zabezpečený“ zámek, přestože se bude jednat o podvodný web. Zámek pouze znamená, že máte zabezpečené spojení s tímto webem.

HTTPS je stále důležité

I když se HTTPS nepostará o všechny problémy, tak je stále klíčové. Přesun webových stránek na HTTPS pomáhá řešit některé problémy, ale nezastaví šíření malwaru, phishingu, spamu a dalších hrozeb.

Posun směrem k HTTPS je pro internet velmi důležitý! Podle statistik společnosti Google je 80 % stránek načítaných v prohlížeči Chrome ve Windows načítáno pomocí protokolu HTTPS. Uživatelé tráví 88 % času na webových stránkách s HTTPS protokolem.

Díky HTTPS je pro zločince náročnější odposlouchávat osobní data, zejména ve veřejných Wi-Fi sítích. Snížila se také možnost útoku typu man-in-the-middle.

Představme si situaci, kdy si z webové stránky stahujete soubor .exe a jste připojeni k veřejné Wi-Fi síti. Pokud používáte HTTP, operátor Wi-Fi sítě by mohl změnit soubor při stahování a poslat Vám jiný, škodlivý soubor. V případě HTTPS, je spojení chráněno a nikdo nemůže s stahovaným souborem manipulovat.

I když je HTTPS obrovský krok vpřed, nemůžeme se spoléhat jen na něj. Pro zabezpečení před malwarem a phishingem musíme i nadále dodržovat základní zásady bezpečnosti na internetu.

Autor obrázku: Eny Setiyowati/Shutterstock.com.