A HTTP rövidítést mindenki ismeri, ha máshonnan nem, a webcímek elejéről. De időnként találkozhatunk a HTTPS-sel is; főleg, ha online szeretnénk vásárolni valamit, vagy a bankügyeinket intézzük. Micsoda a HTTPS, és miért lenne a legjobb, ha mindenhol ezt használnánk?

Traktor vagy teáskanna

A HTTPS egy kommunikációs protokoll. Jó, de az mire való, eszik vagy isszák? A protokollok megmondják a számítógépnek, milyen formában várja a beérkező információt, és hogyan válaszoljon rá; illetve egyéb funkciókat is ellátnak, például rendszerint foglalkoznak a hibakezeléssel, mert egy hírközlési rendszer se tökéletes…

Számos különböző protokoll létezik, amelyek például e-mailek vagy egyéb állományok továbbítását szabályozzák. Akár egészen furcsa helyen is találkozhatunk velük: például az ISOBUS nevű protokoll a mezőgazdasági járműveken belüli információáramlást kezeli. Mit mond a szélsebesség- és páratartalom-mérő? Hányadik bálánál tart a bálázó? Bizony, egy mai haszongépjárműben ezek a részegységek mind az informatika segítségével állnak szóba egymással.

ISOBUS terminál. Szeretnénk egy ultramodern traktort?
(Forrás: Competence Center ISOBUS e.V. / Wikimedia Commons)

Ha webezünk, akkor a HTTP = Hypertext Transfer Protocol, Hipertext-átviteli Protokoll segítségével kommunikál a böngészőnk az internetes oldalakkal. A számítógépünk zaklatja a kiszolgáló számítógépet, amin a kért weboldal található, az pedig a kívánt olvasnivaló mellett egy csomó más adatot is küld neki, ami a működéshez szükséges. Például rögtön egy HTTP válasz elején található a három számjegyből álló válaszkód: internethasználóként biztosan ismerünk néhányat, még akkor is, ha most hallunk először a protokollokról. Ilyen például a 404-es hiba („Az oldal nem található”) vagy esetleg a hírhedt 500-as hiba („Belső szerverhiba”). A vicces kedvű informatikusoknak köszönhetően létezik egy meglehetősen különös válaszkód is: a 418 jelentése „Teáskanna vagyok”, ez áprilisi tréfaként került bele a protokoll leírásába.

Versenyautó alakú teáskanna. Semmi nem az, aminek látszik?
(Forrás: Forrás: Wikimedia Commons)

Kettő egyben, csak itt, csak most!

A HTTPS két másik protokoll kombinálásával áll elő. Az egyik – nem nagy meglepetésre – a HTTP, a másik pedig az SSL/TLS. Az utóbbiról elegendő annyit tudnunk, hogy egy adatfolyam titkosítását teszi lehetővé. Tehát a HTTPS arra jó, hogy a webes adattovábbítást lehet vele titkosítani. A gyakorlati megvalósításai során ebből a felhasználó nem sokat lát, tehát az élmény ugyanolyan, mint a sima internetes böngészésnél, ezért sokan nem is tudják, mit jelent, ha a https:// felirat olvasható a címsorban.

A képen a Firefox böngésző címsora látható, de máshol is hasonlóan néz ki
(Forrás: Takács Boglárka)

De mire kell ez nekünk? Az alapelv hasonló, mint bármely más titkosításnál: a címzettje el tudja olvasni, a többiek pedig nem. Jelen esetben a mi gépünk a címzett, az internetes oldalt a részére elküldő kiszolgáló gép pedig a feladó. (És fordítva is, ha mi küldünk adatokat a kiszolgálónak, például ha egy blogon szeretnénk a témához hozzászólni.)

Pénzt vagy életet

Nagyszerű, de hát ezeket az adatokat úgyse tudja megnézni senki, nem igaz? Dehogynem: a HTTP hátránya, hogy az így zajló adatforgalom bármilyen közbeeső állomásán gond nélkül elolvasható. Az internet márpedig úgy épül föl, hogy az adatcsomagok nem közvetlenül a mi gépünk és a távoli gép között közlekednek, hanem a hálózatban egyik gépről a másikra ugrálva jutnak el a célállomáshoz.

Valljuk be, a legtöbb esetben senkit sem érdekel, hogy mit csinálunk az interneten. De ha nem készülünk fel a legrosszabbra, akkor könnyen pórul járhatunk! Erre az online szolgáltatást nyújtó bankok ébredtek rá legelőször, majd követték őket a különböző webáruházak. Ha az interneten szeretnénk vásárolni, általában meglehetősen érzékeny adatokat kell megadnunk: cím, bankkártyaszám, lejárati idő, ellenőrző kód... Senki se szeretné, hogy a banki információi gonosztevők kezébe kerüljenek, márpedig ha titkosítás nélkül haladnak át az interneten, akkor erre megvan az esély. A bankoknak is érdekük fűződik ahhoz, hogy az internetes számlakezelést, utalást biztonságosnak érezzék a fogyasztók, úgyhogy nagyon hamar elkezdtek különböző titkosítási módszereket használni a célra. Ma már azonban nemcsak pénzügyi szolgáltatást igénybe véve találkozhatunk a HTTPS-sel, hanem például a Google-t vagy a Wikipédiát is el lehet HTTPS-en keresztül érni.

Hülye ablak, hagyj békén

Mivel a böngészők általában zökkenőmentesen, észrevétlenül kezelik a HTTP – HTTPS átmenetet, sajnos a HTTPS-t a felhasználó leginkább akkor veszi észre, ha valami nem stimmel. Ahhoz, hogy az SSL/TLS titkosítás megfelelően működjön, a szervernek – tehát nem a mi gépünknek! - szüksége van egy úgynevezett SSL tanúsítványra (SSL certificate). Ez egy igazolás, ami azt jelzi a felhasználónak, hogy akihez kapcsolódik, az tényleg az, akinek mondja magát. Ha a böngésző azt látja, hogy valami nem stimmel a tanúsítvánnyal, akkor ad egy hibaüzenetet:

Illusztrációnkon a Firefox/Iceweasel böngésző magyar verziója látható
(Forrás: Takács Boglárka)

De a gyakorlatban ez a helyzet akkor is előállhat, ha minden rendben van; főleg kisebb szervezeteknél, akik maguk végzik a szerverük beállításait. A két leggyakoribb problémaforrás, ha az SSL tanúsítvány kiállítója ugyanaz, mint a szerver üzemeltetője (elméletileg egy független szervezetnek kellene kiállítania, de az pénzbe kerül...), vagy ha a tanúsítvány másik webcímre szól, mint ahova csatlakozni próbálunk. Ez utóbbi meglepően könnyen előállhat, például ha az olcsó online tárhelyhez a tárhelyet értékesítő cég nevére van kiadva a tanúsítvány:

A weboldal üzemeltetője nem vett a Hostgatortől SSL tanúsítványt a tárhely mellé
(Forrás: Takács Boglárka)

Mivel gyakori a vaklárma, sokan ha hasonló hibaüzenetet látnak, egyből arra utasítják a böngészőt, hogy hagyja figyelmen kívül és folytassa a csatlakozást. Mi legyünk okosak: ismeretlen weboldalnál mindig olvassuk el, hogy miért kaptuk a hibajelzést! Ha valami gyanús, kérdezzünk rá az üzemeltetőnél! Legfeljebb egy kicsit morcos lesz...

Könnyen, gyorsan

Mivel a HTTPS automatikusan működik, csak arra kell figyelni, hogy be legyen kapcsolva, amikor csak lehet. Különösen a jelszavak átküldésénél fontos, hogy titkosítva legyenek, de mindent, amit át lehet állítani HTTPS-re, állítsunk át! Általában “Biztonságos bejelentkezés”, “Biztonságos böngészés” vagy hasonló néven lehet megtalálni a weboldalakon. Vigyázat, a “bejelentkezés” lehet, hogy csak a jelszó átküldésére vonatkozik, és a további forgalom titkosítatlan marad!

A freemail.hu pont ilyen
(Forrás: Takács Boglárka)

A Facebookot például így lehet átállítani HTTPS üzemmódra (azért ezt választottuk példának, mert sokan használják, és jól el van rejtve a beállítási lehetőség a menük között): a jobb fölső sarokban kattintsunk a Profilom feliratra, majd az itteni menüben Fiókbeállítások / Fiókvédelem / Biztonságos böngészés (https) / Facebook böngészése biztonságos kapcsolaton (https) keresztül, amikor lehetséges. (Angolul: Account / Account Settings / Settings / Account Security / Secure browsing (https) / Browse Facebook on a secure connection (https) whenever possible.) Ezt az opciót beikszeljük, és már meg is vagyunk. Figyelem, ettől néhány játék nem működik, de akkor mindig külön szól a Facebook, mielőtt visszakapcsolna sima HTTP-re.

Sajnos más ismert böngészőkhöz (Opera, Safari, Explorer stb.) egyelőre egy
technikai korlát miatt nincsen a HTTPS Everywhere-hez hasonló, egyszerűen
telepíthető kiegészítő, így ezekben kénytelenek vagyunk minden oldalt
magunk egyenként beállítgatni. A Google Chrome-hoz jelenleg szintén
nincsen HTTPS Everywhere, de várhatóan a nem túl távoli jövőben elkészül.

Ha Firefox böngészőt használunk, telepíthetjük a HTTPS Everywhere (= HTTPS mindenhol) kiegészítést, ami minden nagyobb weboldalon megpróbálja bekapcsolni a titkosítást; valószínűleg ez a legegyszerűbb megoldás. Kattintsunk a nagy kék gombra, hagyjuk jóvá a telepítést, indítsuk újra a böngészőt, és készen is vagyunk.

Azért a HTTPS Everywhere sem csodaszer: kettőn áll a vásár, ahol a kiszolgáló gép nem támogatja a HTTPS-t, ott hiába próbálkozunk bármivel. (Ilyenkor egyszerűen visszavált HTTP-re.) Ráadásul a HTTPS használata kisebb sebességcsökkenéssel járhat, de ez a legtöbb esetben elhanyagolható.

Olvasni- és letöltenivaló

* Protokoll (informatika) szócikk a magyar Wikipédián

* HTTPS Everywhere

* Magyar nyelvű Firefox böngésző letöltése

* Merész és mérnöki hajlamú olvasóinknak: ISOBUS entitáslista angolul. Hát nem hangzik nagyszerűen, hogy alapértelmezett vetési mélység?