Поделиться
CNews перешел на защищенный протокол HTTPS
В сентябре 2019 года CNews успешно провел перевод своих проектов на безопасный протокол HTTPS.CNews стал безопаснее
Интернет работает на основе протоколов, которые представляют собой набор правил, позволяющих осуществлять соединение и обмен данными между включенными в сеть устройствами. Обычные сайты используют протокол HTTP (HyperText Transfer Protocol – «протокол передачи гипертекста»). Однако данные, передаваемые по незащищенному HTTP, могут перехватываться и подменяться злоумышленниками. Банки, системы денежных переводов и другие интернет-сервисы, уделяющие повышенное внимание безопасности при обмене данными, используют защищенные протоколы передачи данных.
CNews заботится о приватности своих посетителей, поэтому в сентябре 2019 года проекты CNews были переведены на безопасный протокол HTTPS и защищены криптографическим протоколом SSL/TLS, который шифрует всю передаваемую информацию.
Браузеры «Яндекс», Mozilla Firefox и Google Chrome помечают страницы, которые собирают конфиденциальные данные и не используют HTTPS как «Небезопасные». В то же время при работе с защищенными интернет-ресурсами рядом с адресной строкой браузер отображает кнопку идентификации в виде замка, тем самым информируя пользователя о том, что посещаемый сайт является безопасным.
Что такое HTTPS
HTTPS (HyperText Transfer Protocol Secure) – расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Данные в протоколе HTTPS передаются поверх криптографических протоколов SSL или TLS.
HTTPS обеспечивает защиту от атак, основанных на прослушивании сетевого соединения, в частности от атак типа «человек посередине» (MITM, man-in-the-middle).
Протокол поддерживается всеми современными браузерами. Пользователю не нужно ничего специально настраивать – безопасное соединение автоматически устанавливается, когда это возможно.
Как работает HTTPS
При установке безопасного соединения по HTTPS компьютер, смартфон или другое устройство (клиент) и сервер CNews выбирают общий секретный ключ шифрования, который действует в течение одного сеанса связи. Затем клиент и сервер обмениваются данными, зашифрованными с помощью этого ключа. Ключ невозможно перехватить, а его подбор представляется затруднительным ввиду его длины. Таким образом обеспечивается конфиденциальность передаваемых по каналу связи данных.
Для того, чтобы исключить возможность вмешательства третьих лиц в процесс обмена информацией между клиентом и сервером, используются цифровые сертификаты.
Цифровой сертификат – особый электронный документ, используемый для идентификации сервера, своего рода паспорт интернет-ресурса. Сертификат содержит данные о его владельце, в том числе имя, открытые ключи, а также срок действия сертификата и электронную подпись, сгенерированную с использованием секретного ключа удостоверяющего центра.
Выдачей сертификатов занимаются центры сертификации или удостоверяющие центры (Certification authority, CA) – авторитетные организации, которым доверяют большинство браузеров.
При установлении соединения клиента с сервером первое, что делает сервер – посылает клиенту копию своего сертификата, чтобы клиент идентифицировал его. Данная процедура позволяет гарантировать, что сервер является именно тем, за кого себя выдает, а не, например, злоумышленником, маскирующимся под легитимный ресурс с целью перехвата информации.
В случае, если имя сервера не совпадает с указанным в сертификате, то ПО на стороне клиента (чаще всего браузер), предупреждают пользователя об опасности. Большинство популярных браузеров в такой ситуации предложат пользователю прервать признанное ненадежным соединение, либо продолжить на свой страх и риск.
Короткая ссылка
