Teknofiloen albistegia

Googlek "ez seguru" bezala markatuko ditu HTTPS ez duten webguneak

Erabiltzailearen aurpegia
Sustatu.eus
2016-11-11 : 12:12

HTTP eta HTTPS protokoloak dira webgune baten eta gure nabigatzailearen arteko komunikazioak arautzen dituena. Hau da, nabigatzaile batean (Firefox, Chrome,...) webgune bat ikusi ahal izateko modua arautzen duena. HTTP da zaharrena eta erabiliena; HTTPS berriagoa eta seguruagoa, baina ez hain zabaldua. Googlek iragarri du, urtarriletik aurrera HTTP protokoloa daukaten webguneak "ez seguru" bezala markatuko dituela bere Chrome nabigatzailean. Lehendik ere ari da bere bilaketa-emaitzetan HTTPS duten orrialdeak lehenesten, HTTP hutsa dutenen kalterako.

HTTP protokoloa da web zerbitzariaren eta web bezeroaren (nabigatzailearen) arteko komunikazioak arautzen dituena. Sustatuko orri hau irakurtzen ari bazara HTTP erabiltzen ari zara. Horixe da munduko webgunerik gehienek darabiltena. Duela gutxi iragarri du Googlek hemendik gutxira HTTP hutsa duten webguneak ez seguru bezala markatzen hasiko dela. Hori bi pausotan egingo du. 2017ko urtarrilean irtengo den Chrome nabigatzailearen 56 bertsioan pasahitzak eta kreditu-txartelen datuak jasotzen dituzten webguneak ez seguru moduan izendatuko ditu, ez badute HTTPS protokoloa erabiltzen. Eta aurrerago, Chromeren bertsio berriagoetan, HTTP orri guztiak ez seguru moduan izendatuko ditu. Zergatik egin nahi du hori Googlek?

Horren arrazoia, ziurtasuna omen da. HTTP eskaeretan bidaltzen den informazioa guztia zifratu gabe bidaltzen da, hau da, suposatu wifi publiko batera konektatuta zaudela eta HTTP erabiltzen duen webgune batean izena ematen duzula. Wifi berdinera konektatutako norbaitek, tresna egokiak erabilita (sare trafiko guztia jasotzen duten tresnak, snifferrak), zure erabiltzaile izen eta pasahitza berreskuratuko lituzke.

Bezero eta zerbitzari arteko komunikazioak zifratuta egoteko HTTPS protokoloa zehaztu zen. Kasu honetan bezero eta zerbitzari arteko komunikazio guztia zifratuta burutzen da eta aurreko erasoa ezinezko bihurtuko luke. Gero eta gehiago dira HTTPS protokolo seguruagoa erabiltzen duten webguneak. Sartu Wikipedian, Youtuben, Facebooken edota Twitterren, eta HTTPS darabiltela ikusiko duzu; eta nola ez, baita banketxe, erakundeen webgune eta abarretan ere. Googlek HTTPS-ren ezarpenaren jarraipena egiten dihardu webgune honetan. Hor ikus ditzakegu webgune bisitatuenak zein egoeratan dauden, eta baita erabilpen-estatistika batzuk ere.  #movingtoHTTPS traola zabaldu nahian ere ari da. 

HTTPS protokoloaren bidez, helburu zerbitzaria benetan dioen hori dela ere ziurtatu daiteke MITM (Man In The Middle ) erako erasoak ekiditeko balio du. HTTP erabiliz erasotzaile bat, zerbitzaria eta bezeroaren artean jar daiteke eta bien arteko trafiko guztia eskuratu.

HTTPS erabiliz goiko eskema ezinezkoa da, komunikazioaren lehen pausuan nabigatzaileak zerbitzariari bere zertifikatua eskatuko dio, eta zertifikatu hori jatorrizko zerbitzariak bakarrik izan dezakeenez, hasieratik jakingo du komunikazioak balekoak diren edo ez.

HTTPS protokoloa darabilten orriek giltzarrapo bat erakusten dute, goiburuko irudian adierazi dugun bezalakoa.

Googleren oharra dela eta, ulertzekoa da nabigatzaile batek pasahitzak eta kreditu-txartelaren datuak jasotzen diren orrietan oharra ematea HTTPS ez badarabil, gure datuak lapurtzea errazagoa delako. Baina, zergatik nahi ditu Googlek izendatu ez seguru moduan HTTP darabilten webgune guztiak? Zergatik nahi du Googlek, enpresa den ikuspegitik, blog edota webgune korporatibo sinple batek HTTPS erabiltzea? Horixe da gaur egun oraindik garbi-garbi ez dagoen kontua. 

Erantzun

Twitter ikonoa  Facebook ikonoa  Sartu