Vad är HTTPS och varför ska jag bry mig?

HTTPS, låsikonen i adressfältet, en krypterad webbplatsanslutning - det är känt som många saker. Även om det en gång var reserverat främst för lösenord och andra känsliga data, lämnar hela webben gradvis HTTP och växlar till HTTPS.

"S" i HTTPS står för "Secure". Det är den säkra versionen av det vanliga ”hypertextöverföringsprotokollet” som din webbläsare använder när du kommunicerar med webbplatser.

Hur HTTP sätter dig i fara

När du ansluter till en webbplats med vanlig HTTP letar din webbläsare upp den IP-adress som motsvarar webbplatsen, ansluter till den IP-adressen och antar att den är ansluten till rätt webbserver. Data skickas över anslutningen i klartext. En avlyssnare i ett Wi-Fi-nätverk, din internetleverantör eller statliga underrättelsetjänster som NSA kan se de webbsidor du besöker och de data du överför fram och tillbaka.

RELATERAD: Vad är kryptering och hur fungerar det?

Det finns stora problem med detta. För det första finns det inget sätt att verifiera att du är ansluten till rätt webbplats. Du kanske tror att du har besökt din banks webbplats, men du befinner dig i ett kompromissat nätverk som omdirigerar dig till en bedragswebbplats. Lösenord och kreditkortsnummer ska aldrig skickas via en HTTP-anslutning, annars kan en avlyssnare enkelt stjäla dem.

Dessa problem uppstår eftersom HTTP-anslutningar inte är krypterade. HTTPS-anslutningar är.

Hur HTTPS-kryptering skyddar dig

RELATERAD: Hur webbläsare verifierar webbplatsens identitet och skyddar sig mot bedragare

HTTPS är mycket säkrare än HTTP. När du ansluter till en HTTPS-säker server - säkra webbplatser som din banks kommer automatiskt att omdirigera dig till HTTPS - kontrollerar din webbläsare webbplatsens säkerhetscertifikat och verifierar att den har utfärdats av en legitim certifikatmyndighet. Detta hjälper dig att se till att, om du ser “//bank.com” i din webbläsares adressfält, är du faktiskt ansluten till din banks verkliga webbplats. Företaget som utfärdade säkerhetsintyget garanterar dem. Tyvärr utfärdar certifikatmyndigheter ibland dåliga certifikat och systemet går sönder. Även om det inte är perfekt är HTTPS fortfarande mycket säkrare än HTTP.

När du skickar känslig information över en HTTPS-anslutning kan ingen avlyssna den under transport. HTTPS är det som gör säker nätbank och shopping möjlig.

Det ger också ytterligare integritet för normal surfning. Till exempel är Googles sökmotor nu HTTPS-anslutningar. Det betyder att människor inte kan se vad du söker efter på Google.com. Detsamma gäller Wikipedia och andra webbplatser. Tidigare skulle alla i samma Wi-Fi-nätverk kunna se dina sökningar, liksom din internetleverantör.

Varför alla vill lämna HTTP bakom

HTTPS var ursprungligen avsedd för lösenord, betalningar och annan känslig data, men hela webben går nu mot den.

I USA får din Internetleverantör snoopa i din webbhistorik och sälja den till annonsörer. Om webben flyttar till HTTPS kan din internetleverantör dock inte se så mycket av den informationen - de ser bara att du ansluter till en specifik webbplats, i motsats till vilka enskilda sidor du tittar på. Detta innebär mycket mer integritet för din surfning.

Ännu värre, HTTP tillåter din internetleverantör att manipulera med de webbsidor du besöker, om de vill. De kan lägga till innehåll på webbsidan, ändra sidan eller till och med ta bort saker. Internetleverantörer kan till exempel använda den här metoden för att injicera fler annonser på webbsidor du besöker. Comcast injicerar redan varningar om bandbreddskåpan, och Verizon har injicerat en supercookie som används för att spåra annonser. HTTPS förhindrar Internetleverantörer och andra som driver ett nätverk från att manipulera webbsidor som denna.

Och det är naturligtvis omöjligt att prata om kryptering på webben utan att nämna Edward Snowden. Dokumenten som Snowden läckt ut 2013 visade att den amerikanska regeringen övervakar de webbsidor som besöks av internetanvändare runt om i världen. Detta tände eld under många teknikföretag för att gå mot ökad kryptering och integritet. Genom att flytta till HTTPS har regeringar runt om i världen svårare att visa alla dina surfvanor.

Hur webbläsare uppmuntrar webbplatser att dumpa HTTP

På grund av denna önskan att flytta till HTTPS kräver alla nya standarder som är utformade för att göra webben snabbare HTTPS-kryptering. HTTP / 2 är en större ny version av HTTP-protokollet som stöds i alla större webbläsare. Det lägger till komprimering, rörledning och andra funktioner som gör att webbsidor laddas snabbare. Alla webbläsare kräver att webbplatser använder HTTPS-kryptering om de vill ha dessa användbara nya HTTP / 2-funktioner. Moderna enheter har dedikerad hårdvara för att bearbeta AES-kryptering HTTP kräver också. Detta innebär att HTTPS faktiskt borde vara snabbare än HTTP.

Medan webbläsare gör HTTPS attraktiva med nya funktioner gör Google HTTP oattraktivt genom att straffa webbplatser för att använda det. Google planerar att flagga webbplatser som inte använder HTTPS som osäkra i Chrome, och Google vill prioritera webbplatser som använder HTTPS i Googles sökresultat. Detta ger webbplatser ett starkt incitament att migrera till HTTPS.

Hur man kontrollerar om du är ansluten till en webbplats med HTTPS

Du kan se att du är ansluten till en webbplats med en HTTPS-anslutning om adressen i webbläsarens adressfält börjar med “//”. Du ser också en låsikon som du kan klicka på för mer information om webbplatsens säkerhet.

Detta ser lite annorlunda ut i varje webbläsare, men de flesta webbläsare har // och låsikonen gemensamt. Vissa webbläsare gömmer nu "//" som standard, så du ser bara en låsikon bredvid webbplatsens domännamn. Om du klickar eller trycker inuti adressfältet ser du dock "//" -delen av adressen.

RELATERAD: Varför användning av ett offentligt Wi-Fi-nätverk kan vara farligt, även när man får åtkomst till krypterade webbplatser

Om du använder ett okänt nätverk och du ansluter till din banks webbplats, se till att du ser HTTPS och rätt webbplatsadress. Detta hjälper dig att se till att du faktiskt är ansluten till bankens webbplats, även om det inte är en idiotsäker lösning. Om du inte ser en HTTPS-indikator på inloggningssidan kan du vara ansluten till en bedragswebbplats i ett komprometterat nätverk.

Se upp för nätfiske

RELATERAD: Säkerhet online: bryta ner anatomi för ett phishing-e-postmeddelande

Närvaron av HTTPS i sig är inte en garanti för att en webbplats är legitim. Vissa smarta phishers har insett att människor letar efter HTTPS-indikatorn och låsikonen och kan gå ut ur deras sätt att dölja sina webbplatser. Så du bör fortfarande vara försiktig: klicka inte på länkar i phishing-e-post, annars kan du befinna dig på en smart förklädd sida. Scammers kan också få certifikat för sina scam-servrar. I teorin hindras de bara från att efterlikna webbplatser som de inte äger. Du kanske ser en adress som //google.com.3526347346435.com. I det här fallet använder du en HTTPS-anslutning, men du är verkligen ansluten till en underdomän på en webbplats med namnet 3526347346435.com - inte Google.

Andra bedragare kan imitera låsikonen och ändra deras webbplats favicon som visas i adressfältet till ett lås för att försöka lura dig. Håll utkik efter dessa knep när du kontrollerar din anslutning till en webbplats.