Объяснения OTT: HTTPS, SSL и зеленая адресная строка


Вы когда-нибудь заходили на веб-сайт и замечали, что адресная строка имеет зеленый цвет? Если вы заходите на другой сайт, он иногда не зеленый. А на некоторых сайтах текст зеленый и название компании тоже всплывает зеленым. Я начал замечать это на прошлых выходных и захотел выяснить, что означают все варианты зеленого цвета в адресе.

Зеленая адресная строка

Как вы можете видеть выше, просмотр четырех разных сайтов дает мне четыре разных типа адресных строк: некоторые зеленые, некоторые нет. Так о чем все это? Во-первых, давайте разберемся с простой концепцией, которая облегчит понимание различных значков и цветов: безопасный и небезопасный контент.

Безопасный и небезопасный контент

Первое, что нужно понять, — что на самом деле означает безопасный и небезопасный контент. Именно здесь в игру вступают HTTPS и SSL. SSL означает Secure Socket Layer и является базовой технологией, которую протокол HTTPS использует для защиты HTTP-контента. Проще говоря, HTTPS — это HTTP через SSL. HTTP – это незашифрованный HTML-трафик между клиентом и сервером.

Вот почему, когда вы посещаете такой сайт, как Online Tech Tips, вы не увидите зеленый текст или HTTPS в адресной строке. Все, что вы видите на скриншоте выше, — это белый значок документа. Что это значит? Это просто означает, что сайт не использует SSL, а значит, данные не зашифрованы.

Поэтому, если вы, например, введете какую-либо информацию в форму на моем сайте, эти данные не будут зашифрованы через Интернет и, следовательно, потенциально могут быть перехвачены и прочитаны третьей стороной. В Google Chrome, если вы нажмете на маленький значок документа, вы получите подробную информацию, как показано ниже:

Отт безопасное соединение

Отобразятся две вкладки: «Разрешения» и «Подключение». Давайте поговорим о вкладке «Соединение». Здесь вы увидите, что подлинность веб-сайта не подтверждена. Все это означает, что я не покупал сертификат безопасности для своего веб-сайта у доверенного издателя сертификатов, такого как Verisign, и поэтому Online Tech Tips может принадлежать кому угодно, включая россиян, и вы действительно не можете быть в этом уверены. Вот почему никогда не следует вводить конфиденциальную информацию на незашифрованных веб-сайтах, которыми являются почти все блоги и обычные веб-сайты.

Зеленая адресная строка

Теперь, когда вы понимаете, почему в адресной строке нет зеленого текста, давайте объясним различные ситуации, когда мы работаем с безопасным соединением. Во-первых, давайте поговорим о сайте, который до сих пор меня всегда смущал: Gmail! Когда вы впервые загружаете Gmail, ваш адрес выглядит вот так: красивый зеленый значок замка и зеленый текст HTTPS..

Gmail безопасный

Однако через какой-то момент значок внезапно стал серым с желтым треугольником в центре:

Gmail небезопасен

И что тут такого? По сути, этот значок означает, что веб-сайт использует SSL с шифрованием, но некоторый контент на странице небезопасен (не зашифрован). Делает ли это сайт небезопасным? Не обязательно. Например, в Gmail изображения, которые появляются в электронных письмах, не защищены и, следовательно, не зашифрованы. Вот почему вам всегда нужно нажимать ссылку «Всегда отображать изображения из…». Как только вы нажмете на эту ссылку, вы заметите, что зеленый значок замка сменился на серый треугольный. Таким образом, Gmail по-прежнему безопасен, но часть содержимого этого письма небезопасна.

Безопасные изображения Gmail

Единственный случай, когда вам стоит по-настоящему беспокоиться, — это если вы видите висячий замок с красным значком и перечеркнутым текстом HTTPS.

высокий риск

Это может означать несколько вещей, включая истекший срок действия сертификата безопасности веб-сайта или небезопасность другого контента, например Javascript, на сайте. Это называется небезопасным контентом высокого риска. Изображения не относятся к группе высокого риска, поскольку обычно взаимодействие с пользователем не происходит. Однако если Javascript небезопасен, пользователи могут заполнять формы, и данные передаются небезопасно.

Как узнать, какой контент на странице небезопасен? Вы можете проверить это в Google Chrome. Нажмите значок «Настройки» в правом верхнем углу, затем выберите ИнструментыИнструменты разработчика .

Инструменты разработчика

Оказавшись там, нажмите вкладку «Консоль», и вы получите список всех предупреждений и ошибок, как показано ниже.

Небезопасный контент

Как вы можете видеть выше, в электронном письме от AA есть несколько изображений, которые я решил показать, и они небезопасны. В консоли вы можете увидеть конкретные изображения, которые делают страницу небезопасной. Это хороший способ узнать, не защищено ли что-то важное или это просто изображения и тому подобное.

Наконец, на некоторых сайтах вы видите зеленый текст и название компании зеленым цветом, как на первом снимке экрана при входе в мою учетную запись Apple онлайн. Никакой разницы в уровне шифрования или безопасности нет, это просто визуальный индикатор доверия.

Компании могут подать заявку на получение сертификатов расширенной проверки, которые, как правило, стоят больше денег и заставляют компанию проверять больше информации о веб-сайте и о себе. Название компании или веб-сайта указано в сертификате и поэтому отображается в красивом зеленом поле слева от текста HTTPS..

Если вы нажмете на замок здесь, вы увидите гораздо больше информации о безопасности, чем на том же снимке экрана выше для моего веб-сайта:

Apple сертификат

Как видите, компания Apple Inc. была проверена с помощью SSL-сертификата расширенной проверки VeriSign класса 3. Вы также можете увидеть степень шифрования (128-бит) и другую информацию. Банки обычно используют 256-битное шифрование, и это хорошо, поскольку ваши финансовые данные передаются через Интернет.

Вы также можете найти дополнительную информацию о предупреждениях и значках системы безопасности Chrome здесь:

http://support.google.com/chrome/bin/answer.py?hl=en&answer=95617

Надеемся, это даст вам немного больше информации о том, как работают HTTPS и SSL и как браузеры отображают эту информацию в адресной строке. В каждом браузере это немного отличается с точки зрения используемых значков и т. д., но в целом это одна и та же концепция. Наслаждайтесь!.

Похожие сообщения:


30.03.2013