Počet webových stránek podporujících HTTPS – tedy protokol http šifrovaný přes SSL/TSL připojení – se během posledního roku významně zvýšil. Spuštění šifrování přináší mnoho výhod, takže pokud vaše webová stránka ještě tuto technologie nepodporuje, je na čase to změnit.
Nedávná telemetrická data z Google Chromu a Mozilly Firefox ukazují, že přes 50 % přenášených webových dat je šifrováno, a to jak na počítačích, tak mobilních zařízeních. Je pravda, že většina provozu se týká několika největších webových stránek, přesto je skok o 10 procentních bodů za rok úctyhodný.
Úterní průzkum milionu nejnavštěvovanějších webových stránek světa prokázal, že 20 % z nich podporuje HTTPS oproti 14 % v srpnu. Jde tedy o značný, více než 40% nárůst během půl roku.
Existuje mnoho důvodů zrychleného osvojování HTTPS standardu. Některé z dřívějších překážek se nyní snáze překonává, ceny poklesly a zvýšilo se množství důvodů, proč na šifrování přejít.
Výkonnostní dopad
Jednou z dlouhodobých obav ohledně HTTPS je negativní dopad na serverové zdroje a načítací dobu stránek. Šifrování ostatně obvykle přináší rychlostní propad, proč by tedy HTTPS mělo být odlišné?
Jak se však ukazuje, díky vylepšením jak na straně serverů, tak u klientského softwaru je dopad TLS šifrování na rychlost webu zcela minimální.
Když Google začal v roce 2010 využít HTTPS u svého e-mailového klienta Gmailu, společnost odhalila pouze procentní nárůst zatížení procesorů na svých serverech, pod 10 Kb dodatečné paměťové zátěže na jedno připojení a celkově méně než 2 % síťové režie. Přechod na šifrování nevyžadoval žádné dodatečné stroje či specializovaný hardware.
Nejen, že je dopad na back end minimální, ale prohlížení webů je dokonce rychlejší, když je HTTPS zapnuto. Důvodem je, že moderní prohlížeče podporuje HTTP/2, revizi http protokolu, která přináší mnohá výkonnostní zlepšení.
Ačkoli šifrování není nutností pro oficiální specifikaci HTTP/2, tvůrci prohlížečů jej ve vlastní implementaci nutným učinili. Pokud tedy na svém webu chcete rychlostní zlepšení v podobě HTTP/2, šifrování je nutností.
Jde samozřejmě i o peníze
Cena získání a obnovení digitálních certifikátů nutných k nasazení a fungování HTTPS bylo v minulosti důvodem k obavám, a to spravedlivě. Mnoho malých podniků a nekomerčních subjektů se pro nasazení šifrování nerozhodlo pravděpodobně právě z tohoto důvodu, a i větší společnosti s mnoha webovými stránkami a doménami ve správě se mohli finančního dopadu obávat.
To by naštěstí nemusel být nadále problém, alespoň pro ty weby, které nevyžadují certifikáty Extended Validation EV. Nezisková organizace Let’s Encrypt minulý rok spustila certifikáty domain validation (DV), které navíc poskytuje zadarmo skrze plně automatizovaný a jednoduchý proces.
Z kryptografického a bezpečnostního hlediska není mezi DV a EV certifikáty žádný rozdíl. Jediný reálný rozdíl je v tom, že EV vyžaduje důkladnější verifikaci organizací a umožňuje držiteli certifikátu zobrazit jméno vlastníka v adresním řádku, kde vedle vizuálního indikátoru HTTPS připojení.
Mimo Let’s Encrypt existuje ještě několik síťových a cloudových poskytovatelů služby, včetně CloudFlare a Amazonu, které nabízí TLS certifikáty zdarma. Webové stránky hostované skrze službu Wordpress rovněž dostávají HTTPS automaticky, a to i pokud využívají vlastní doménu.
Noční můrou je špatná implementace
Nasazení HTTPS bývalo velmi složité. Kvůli špatné dokumentaci, pokračující podpory slabých algoritmů v kryptovacích knihovnách a neustále odhalovaných nových útocích byla vysoká šance, že serveroví administrátoři skončí se zranitelnou verzí HTTPS protokolu. A špatné HTTPS je horší než žádné, neboť uživatelům dává falešný pocit bezpečí.
Mnohé z těchto problémů se však řeší. Webové stránky typu Qualys SSL Labs poskytují dokumentaci zdarma k TLS, stejně jako testovací nástroje k nalezení chybné konfigurace a zranitelností v HTTPS verzi uživatele. Jiné webové stránky pak poskytují zdroje na optimalizaci výkonu TSL.
Smíšený obsah zůstává problémem
Posílání a vytahování externích zdrojů typu obrázky, videa a JavaScript kód skrze nezašifrovaná připojení do HTTPS webové stránky spustí bezpečnostní varování v prohlížečích uživatele. A protože mnoho webových stránek na externích zdrojích závisí – fóra, webová analytika, reklamy apod. – zůstává smíšený obsah jedním z důvodů, proč někteří vlastníci webových stránek stále ještě nepřestoupili na HTTPS.
Dobrá zpráva je, že v posledních letech se vyrojilo velké množství služeb třetí strany, včetně reklamních sítí, které začaly HTTPS podporovat. Důkazem, že problém přestává být tak významný jako dříve, svědčí například to, že mnoho online médii již na HTTPS přešlo, přestože takové stránky jsou obvykle na zdrojích z reklamy závislé. Přesto však někteří vlastníci nemají jinou možnost než u HTTP z finančních důvodů setrvat.
Webmasteři mohou využít CSP header, který jim odhalí nezabezpečené externí zdroje na jejich webových stránkách a mohou je kupříkladu zablokovat. http Strict Transport Security (HSTS) také může napomoci s potížemi smíšeného obsahu, jak vysvětluje například bezpečnostní analytik Scott Helme (anglicky).
Další možnosti zahrnují služby typu CloudFlare, fungující jako proxy mezi uživatelem a webovým serverem, který webovou stránku vlastně hostuje. CloudFlare zašifruje přenos dat mezi koncovými uživateli a svým proxy serverem, i v případě, že je spojení mezi proxy a hostujícími servery nezašifrované. Toto zabezpečení je sice jen polovinou komunikace mezi subjekty, přesto je však lepší než nic a částečně znemožní manipulaci s příchozím obsahem nebo jeho odposloucháváním.
HTTPS přidá na důvěryhodnosti
Jednou z klíčových výhod HTTPS je ochrana uživatelů před útoky typu man in the middle (MitM), které lze spustit ze špatně zabezpečených nebo nakažených sítí.
Hackeři používají tuto techniku ke krádeži citlivých informaci uživatele nebo k vložení škodlivého obsahu do přenášených dat. MitM útoky lze také provést i z vyšší pozice internetové infrastruktury, například na celonárodní úrovní – velký čínský firewall – případně i na kontinentální úrovni, jako v případě odposlouchávacích aktivit NSA.
Operátoři Wi-Fi hotspotů, a i někteří poskytovatelé internetového připojení, MitM techniky využívají ke vkládání reklam a různých zpráv do nezabezpečeného přenosu dat uživatele.
Nechcete HTTPS? Přijde penalizace
Google začal HTTPS preferovat u svých výsledků vyhledávání už v roce 2014; znamená to, že šifrované weby mají ve vyhledávání výhodu nad standardními HTTP stránkami. Důraz kladený na šifrování u výsledků je prozatím poměrně malý, v budoucnu jej však Google chce zvýraznit v rámci podpory HTTPS protokolu.
Za stejnou věc bojují i výrobci prohlížečů, avšak ještě o něco agresivněji. Nové verze Chromu a Firefoxu zobrazí varování, pokud se uživatelé pokusí vložit heslo či informace o kreditní kartě do textových polích mimo HTTPS stránky.
V Chromu mají dokonce nešifrované weby zákaz přístupu k některým funkcím typu geolokace, GPS zařízení nebo k mezipaměti. V budoucnu chce Google s Chromem zajít ještě dál a například zobrazovat „Nezabezpečené“ varování na adresním řádku pro všechny nezašifrované weby.
Budoucnost HTTPS
„Jako komunita cítím, že jsme vykonali hodně dobrého v této oblasti a vysvětlili jsme, proč by všichni měli využívat HTTPS,“ říká Ivan Ristic, bývalý šéf Qualys SSL Labs a autor knihy Bulletproof SSL a TSL. „Obzvláště prohlížeče se svými neustále vylepšeními jsou důležitým motivem k přechodu na HTTPS.“
Podle Ristice některé problémy zůstávají, například zastaralé systémy nebo služby třetí strany bez HTTPS podpory. Cítí však, že se situace zlepšuje i ze strany široké veřejnosti, která na osvojení HTTPS tlačí.
„Cítím že s tím, jak více stránek na šifrování přejde, bude vše jednodušší,“ říká.
Lidé mají při použití HTTPS webových stránek vyšší míru sebevědomí a důvěry. Certifikáty jsou však dnes snadno získatelné a mnoho útočníků využívá často nemístné důvěry uživatelů a zakládají čistě útočné HTTPS stránky.
„Pokud jde o otázku důvěry, jednou z věcí, kterou musím zdůraznit je, že HTTPS neznamená nic o spolehlivosti webové stránky ani o tom, kdo ji vlastní,“ říká bezpečnostní expert Troy Hunt.
Organizace se budou muset se zneužíváním HTTPS protokolu vyrovnat a začít na lokálních sítích prozkoumávat přenosy dat, protože šifrované spojení může skrývat nežádoucí malware.
PŘEDPLATNÉ
ČLÁNKY DO MAILU