OTT пояснює - HTTPS, SSL і зелену адресну рядок
Ви коли-небудь були на веб-сайті і помітили, що адресний рядок зелений? Якщо ви відвідуєте інший сайт, це іноді не зелене. І на деяких сайтах текст зеленого кольору, а назва компанії з'являється теж зеленим кольором. Я почав помічати цей останній уїк-енд і хотів зрозуміти, що означають всі різні версії зелених в адресі.
Як ви можете бачити зверху, перегляд чотирьох різних сайтів дає мені чотири різних типи адресних рядків, деякі зелені, а деякі - не. Так що все це? По-перше, давайте зрозуміємо просту концепцію, яка зробить розуміння різних значків і кольорів дуже легким: захищений від небезпечного змісту.
Безпечний проти небезпечного вмісту
Перше, що потрібно зрозуміти - що таке безпечний і небезпечний вміст. Ось тут і HTTPS і SSL. SSL означає Secure Socket Layer, і це технологія, що використовує протокол HTTPS для захисту вмісту HTTP. Найпростіше, HTTPS є HTTP через SSL. HTTP - це незашифрований трафік HTML між клієнтом і сервером.
Ось чому, коли ви відвідуєте сайт, як онлайн технічні поради, ви не побачите жодного зеленого тексту або HTTPS в адресному рядку. Все, що ви бачите на знімку вікна вище, - це білий значок документа. Що це означає? Це просто означає, що веб-сайт не використовує SSL, тобто дані не шифруються.
Отже, якщо ви вводите будь-яку інформацію у форму на моєму сайті, наприклад, дані не будуть зашифровані через Інтернет і тому потенційно можуть бути захоплені третьою стороною і прочитані. У Google Chrome, якщо ви натиснете на маленький значок документа, ви отримаєте детальну інформацію, як показано нижче:
Відображаються дві вкладки: Дозволи та підключення. Давайте поговоримо про вкладку Connection. Тут ви побачите, що ідентифікацію веб-сайту не було підтверджено. Все, що означає, що я не купив сертифікат безпеки для свого веб-сайту від надійного видавця сертифікатів, таких як Verisign, і тому Інтернет-технічні поради можуть належати будь-кому, включаючи росіян, і ви дійсно не можете бути впевнені. Саме тому ви ніколи не повинні вводити будь-яку конфіденційну інформацію на веб-сайті, який не є зашифрованим, що буде майже у всіх блогах і звичайних веб-сайтах.
Зелений адресний рядок
Тепер, коли ви розумієте, чому у адресному рядку немає зеленого тексту, давайте розберемо різні ситуації, коли ми працюємо із захищеним з'єднанням. По-перше, давайте поговоримо про сайт, який досі мене бентежить: Gmail! Коли ви вперше завантажуєте Gmail, ваша адреса виглядає так з приємним зеленим значком замка і зеленим текстом HTTPS.
Однак після того, як точка, раптом значок буде сірий з жовтим трикутником в центрі:
Так що ж з цим? Ця піктограма в основному означає, що веб-сайт використовує SSL з шифруванням, але певний вміст на сторінці є небезпечним (не зашифрований). Чи робить це веб-сайтом небезпечним? Не обов'язково. У Gmail, наприклад, зображення, які відображаються в електронних листах, не є безпечними і тому не зашифровані. Ось чому вам завжди доведеться натискати на посилання "Завжди показувати зображення з…". Коли ви натискаєте це посилання, ви помітите, що значок зеленого замка змінюється на сірий трикутник. Таким чином, Gmail залишається безпечним, але певний вміст цього листа не захищений.
Єдиний час, коли ви дійсно маєте занепокоєння, це якщо ви бачите замок з червоною піктограмою та закреслено на тексті HTTPS..
Це може означати кілька речей, включаючи сертифікат безпеки веб-сайту, який закінчився, або інший вміст, наприклад, Javascript, який є небезпечним на сайті. Це називається небезпечним небезпечним змістом. Зображення не вважаються високим ризиком, оскільки зазвичай не взаємодіє з користувачем. Однак, якщо Javascript небезпечний, користувачі можуть заповнювати форми, а дані передаватимуться небезпечно.
Отже, як ви знаєте, який вміст небезпечний на сторінці? Ви можете перевірити це в Google Chrome. Натисніть піктограму Параметри у верхньому правому куті, потім натисніть Інструменти - Інструменти розробника.
Натисніть на вкладку Консоль, і ви отримаєте список усіх попереджень або помилок, як показано нижче.
Як ви можете бачити згори, електронна пошта від AA має безліч зображень, які я вирішив відобразити, і це небезпечно. На консолі можна побачити фактичні конкретні зображення, які викликають небезпеку сторінки. Це хороший спосіб побачити, чи є щось важливе небезпечним, або це просто зображення та подібні речі.
Нарешті, на деяких сайтах ви побачите зелений текст і назву компанії в зеленому кольорі, як на першому знімку екрана, коли ви ввійшли до мого облікового запису Apple в Інтернеті. Немає різниці в рівні шифрування або безпеки, це просто візуальний показник довіри.
Компанії можуть подавати заявки на сертифікати розширеної перевірки, які в основному коштують більше грошей і змушують компанію перевіряти більше інформації про веб-сайт і про себе. Ім'я компанії або веб-сайту вказано в сертифікаті, тому вона відображається у фантастичному зеленому полі зліва від тексту HTTPS.
Якщо ви натискаєте на замок тут, ви побачите набагато більше інформації про безпеку, ніж у тому ж самому знімку екрана вище для мого веб-сайту:
Як ви можете бачити, Apple Inc. була перевірена SSL сертифікатом VeriSign Class 3 Extended Validation SSL. Ви також можете побачити кількість шифрування (128-біт) та іншу інформацію. Банки зазвичай мають 256-бітове шифрування, що добре, оскільки це ваші фінансові дані, що проходять через Інтернет.
Тут також можна знайти докладнішу інформацію про попередження та значки безпеки Chrome:
http://support.google.com/chrome/bin/answer.py?hl=uk&answer=95617
Сподіваємося, що це дасть вам трохи більше інформації про те, як працюють HTTPS і SSL і як браузери відображають цю інформацію в адресному рядку. Це трохи відрізняється в кожному браузері з точки зору використовуваних іконок, і т.д., але в цілому це та ж концепція. Насолоджуйтесь!