Co je to HTTPS a proč ho používat

První předpoklad je, že čtenáři či čtenářce tohoto webu je jasné, že cokoliv, co jde přes internet nezašifrovaně, lze odposlouchávat. To se samozřejmě týká i prohlížení webových stránek. Útočník tak může mít snadný přehled o každé stránce, kterou jste navštívili (tato informace nemusí být sama o sobě k ničemu, ale rozhodně tvoří další dílek do skládačky), nebo vám dokonce může podvrhnout vlastní verzi stránek atd.

Jak se tomu bránit? Jedním z možných, i když samozřejmě ne dokonalých řešení je zabezpečené/šifrované prohlížení webových stránek pomocí protokolu HTTPS. HTTPS je nadstavbou síťového protokolu HTTP. Při surfování pomocí HTTPS protokolu je komunikace šifrována šifrováním SSL nebo TSL.

Takto zabezpečenou stránku poznáte tak, že ve stavovém řádku její adresa začíná nikoliv jako http://, ale jako https://. V různých prohlížečích je takové spojení indikováno např. malou ikonou zámečku, v nové Mozille pak modrým/zeleným polem před adresou. Při připojení přes HTTPS je komunikace šifrována, což znamená následující tři věci: není možno odposlouchávat její obsah, třetí strana (útočník) nemůže změnit její obsah a máte jistotu, že stránka byla odeslána tím serverem, jehož adresu vidíte v prohlížeči.

Pozn.: Pro pořádek je potřeba upozornit na to, že starší verze SSL a TSL šifrování, které nicméně používá většina webových stránek, již byla experimentálně prolomena útokem BEAST a neposkytuje tak jistotu úplnou. Nicméně jako u všeho zde platí, že útočník by o vaše data musel stát opravdu hodně, aby tento útok použil, a pro běžnou práci využívání HTTPS v každém případě doporučujeme.

HTTPS tedy nijak neskrývá vaši identitu: Útočník stále vidí stránku, kterou jste navštívili, čas, jaký jste na ni strávili či množství dat, které jste z ní stáhli. Nevidí však data samotná. Pokud si vezmeme za příklad stránku https://www.csaf.cz, pak útočník vidí, že jste navštívili stránku csaf.cz, ale už neví, jaké konkrétní články jste zde četli, jaké slovní spojení jste vyhledávali atd.

Zabezpečení pomocí HTTPS je metodou základní, nicméně, v ideálním on-line světě by každá stránka měla být přístupná pomocí HTTPS. V reálném světě to tak není, viz test níže. HTTPS zabezpečení totiž samozřejmě musí nainstalovat a podporovat admin daného serveru/stránky – nefunguje to tak, že jakoukoliv stránku lze navštívit přes protokol HTTPS jen tak, že do adresy přidáme písmenko „s“.

Certifikáty a jejich podepisování

HTTPS využívá asymetrické šifrování a podobně jako GPG funguje na principu výměny veřejných klíčů. Ty mohou, ale nemusí být digitálně podepsány veřejnou certifikační autoritou. Pokud je certifikát podepsán (ověřen nezávislou autoritou v tom smyslu, že certifikát skutečně patří dané stránce), prohlížeč ho automaticky akceptuje a vy se o návštěvě takové stránky dozvíte pouze z onoho „https“ před její adresou. Přesto, že je tato služba placená, funguje v podstatě jen na principu důvěry a již se stalo, že certifikáty byly certifikační autoritě odcizeny a využity k útokům na velké servery jako Yahoo či Google.

Radikální servery většinou využívají neplacené certifikáty, podepsané „sami sebou.“ Pro návštěvníka to znamená, že je při přístupu na takovou stránku (například již zmíněnou https://www.csaf.cz) varován, že certifikát je „nedůvěryhodný“ (není podepsán oficiální certifikační autoritou) a žádá si výslovné potvrzení toho, že ho za důvěryhodný považujete.

A zde se skrývá kámen úrazu: při přístupu na server si nemůžete být jistí, že nabízený certifikát skutečně patří serveru https://www.csaf.cz. Útočník totiž může využít metodu Man in the middle (Muž uprostřed): podvrhne vám svůj certifikát, tvářící se jako certifikát navštívené stránky. Vaši komunikaci pak klidně přesměruje na originální stránky, které jste chtěli navštívit, ale veškerou komunikaci pak bude mít jako na dlani a může ji libovolně měnit i přes to, že vám se bude jevit jako zabezpečená, protože probíhá přes HTTPS. V tomto případě ale přes HTTPS útočníka.

Otisk a jeho ověření

Proto je možné ověření pravosti certifikátu pomocí kontroly jeho „otisku.“ To je dlouhý řetězec čísel a písmen rozdělený do dvojic, který je unikátním digitálním „podpisem“ certifikátu. Pokud se otisk poskytnutý provozovatelem serveru shoduje s otiskem, který vám nabídne prohlížeč, je jasné, že jde o certifikát autentický.

Problém je ale v získání otisku. Ten musí být získán nezávislou cestou, tedy ne přes internet. Pokud by byl například vystaven na oné webové stránce, může vám ji útočník snadno podvrhnout celou a vyměnit na ni jen onen otisk, který bude odpovídat jemu podvrženému certifikátu. Banky toto řeší např. telefonní linkou, na kterou lze certifikát ověřit. Radikální stránky toto zpravidla neřeší vůbec, dokonce otisk nemají uvedený ani na té webové stránce.

Jedna z nejprimitivnějších metod ověření otisku přitom pracuje právě s otiskem uvedeným na stránkách. Spočívá v tom, že se na stránky připojíte z různých počítačů z různých míst; pokud se otisky shodují, existuje šance, že jde o otisk autentický.

Radikální organizace jako je ČSAF (když už jsme si za příklad vzali jejich stránky) by tento otisk mohly například uvádět ve svém časopise nebo dalších tištěných materiálech, což by už představovalo velmi silné nezávislé ověření.

Smíšený obsah

Jiným problémem s HTTPS je smíšený obsah, kdy jsou hlavní stránky sice přenášeny přes HTTPS, ale některé nebo všechny média, styly a JavaScripty běží přes HTTP. A tak zatímco základní stránka je chráněna, jakmile stránka nahrává CSS nebo JavaScript přes nezabezpečené HTTP, útočník se pomocí škodlivého kódu může zmocnit DOM stránky – jinými slovy a bez všech zkratek, které mohou být nesrozumitelné, pokud jde o stránku se smíšeným obsahem, nejde o stránku zabezpečenou. Prohlížeče takové stránky označují například ikonkou otevřeného zámečku nebo rovnou zobrazují varování.

Shrnutí a doporučení

Závěr z tohoto článku je jasný: kdekoliv to jde, preferujte HTTPS připojení před nezabezpečeným připojením přes HTTP. Všechny velké komerční weby HTTPS připojení podporují, jen některé se tím příliš nechlubí. HTTPS verzi Google například najdete na stránce https://encrypted.google.com (a nikoliv na https://www.google.com, jak by šlo očekávat). Přes HTTPS lze navštěvovat i wikipedii, YouTube a dokonce i Facebook.

Pokud používáte námi doporučovaný prohlížeč Mozilla nebo Chrome, život vám v tomto smyslu zjednoduší plug-in HTTPS Everywhere (https://www.eff.org/https-everywhere). Po jeho nainstalování budete na většině velkých korporátních serverů automaticky od počátku přesměrováni na HTTPS protokol. Jeho instalaci velmi doporučujeme!

Test domácích radikálních stránek

Na závěr se podívejme, jak jsou na tom české radikální stránky:

abc.anarchokomunismus.org – naše vlastní stránky (paradoxně) vůbec HTTPS nepodporují. Na problému se snažíme pracovat.

www.anarchistblackcross.cz – připojení přes HTTPS podporuje, obsahuje však smíšený obsah. HTTPS verzi stránek aktivně nenabízí, návštěvník to musí vyzkoušet.

www.antifa.cz – připojení přes HTTPS sice na oko podporuje, ale jakýkoliv odkaz vede zpět na HTTP verzi. HTTPS připojení tudíž jako by neexistovalo!!

www.alerta.cz – připojení přes HTTPS podporuje, obsahuje však smíšený obsah. HTTPS verzi stránek aktivně nenabízí.

www.csaf.cz – připojení přes HTTPS podporuje, obsahuje však smíšený obsah. HTTPS verzi stránek aktivně nenabízí.

www.greenaction.cz – vůbec nepodporuje HTTPS připojení.

Sale.s.cz – připojení přes HTTPS nepodporuje. Při pokusu o připojení jsem byl přesměrován na stránky „hippie komunity“

www.nerasismu.cz – připojení přes HTTPS plně podporuje!! Jediný český radikální server, který testem prošel!!