Тренды > Безопасность
Шифрование без усилий
Благодаря шифрованию HTTPS Интернет становится безопаснее, но многих владельцев сайтов пугают сложности. Выход: оппортунистическое шифрование защитит даже по HTTP.
Безопасные сайты в Интернете можно распознать по аббревиатуре HTTPS (Hypertext Transport Protocol Secure) и зеленой маркировке защиты в левой части адресной строки браузера — так обозначается шифрование обмена данными между сайтом со всеми модулями и браузером. Кроме того, перед началом передачи данных сервер предъявляет действительный сертификат. Так пользователи могут быть уверены, что открывают «правильный» сайт, а не подложенный злоумышленниками. Впрочем, это подход в духе «все или ничего»: сервер передает данные или полностью в зашифрованном виде по протоколу HTTPS, или полностью в незашифрованном по HTTP. Однако часто бывают случаи, когда шифруется только часть сайта — например, если он содержит рекламу, которая передается по HTTP, или использует скрипты, которые опять-таки обращаются к HTTP-ресурсам. Это приводит к проблемам в HTTPS: веб-обозреватели выводят предупреждения, блокируют или неправильно отображают сайты. В таких случаях выход предлагает оппортунистическое шифрование (OE, Opportunistic Encryption).
Шифрование HTTP
OE — это метод, в настоящее время установленный в рамках проекта Инженерного совета Интернета (Internet Engineering Task Force). Суть заключается в следующем: для передачи данных HTTP-сайтов применяется криптографический протокол TLS (Transport Layer Security). Похоже на HTTPS только на первый взгляд, поэтому при использовании OE в адресной строке не видно пометки «HTTPS». Для того, чтобы уловить разницу, нужно сравнить установление соединения браузера и сервера по HTTPS и OE и проанализировать поведение браузера. На правой странице предлагаем схематическое описание принципа работы обоих методов. HTTPS рассчитан на обеспечение безопасности с самого начала и срабатывает сразу вместе с конкретным запросом браузера об установлении зашифрованного соединения. Если сервер не может его установить, обмен данными завершается уведомлением об ошибке, не успев действительно начаться. С точки зрения безопасности — это правильное решение, поскольку по HTTPS передача данных в незашифрованном виде не может осуществляться.