עודכן לפני חודש
בכל פעם שאתה מזין כתובת URL, הדפדפן שלך מקבל החלטת אבטחה. ההבדל של אות אחת בין http:// לבין https:// קובע אם הסיסמאות, ההודעות ומספרי כרטיסי האשראי שלך עוברים ברחבי האינטרנט כטקסט גלוי — גלוי לכל מי שצופה — או מוצפנים בתעלה שרק אתה והאתר יכולים לקרוא.
ה-S מייצג Secure — מאובטח.
HTTP: פרוטוקול הגלויה
HTTP תוכנן לעולם שכבר אינו קיים.
כשטים ברנרס-לי יצר את הרשת, היא הייתה מערכת לשיתוף מאמרים אקדמיים. לא היו סיסמאות לגנוב, לא כרטיסי אשראי ליירט, לא הודעות פרטיות לקרוא. שליחת נתונים כטקסט גלוי לא הייתה פזיזות — זו הייתה גישה סבירה. הרשת הייתה תמימה.
אז שמנו עליה את חשבונות הבנק שלנו. את הרשומות הרפואיות שלנו. את השיחות הפרטיות שלנו. את הזהות שלנו.
HTTP לא השתנה. העולם סביבו כן.
כשאתה מבקר באתר באמצעות HTTP רגיל, כל פיסת מידע עוברת ברחבי האינטרנט קריאה לכל מי שמטפל בה. ספק האינטרנט שלך רואה אותה. כל מי שמפעיל ראוטר Wi-Fi שדרכו אתה מחובר רואה אותה. האדם שיושב שני שולחנות ממך בבית הקפה, עם תוכנת לכידת מנות בזמן שאתה בודק את המייל שלך? גם הוא רואה אותה.
HTTP הוא גלויות. אתה כותב את הסיסמה שלך על גלויה, מוסר אותה לאדם זר, ובוטח שעשרות אנשים יעבירו אותה הלאה בלי לקרוא אותה. הם יקראו אותה. חלקם ירשמו אותה.
HTTPS: המעטפה האטומה
HTTPS עוטף HTTP בהצפנה. לפני שמידע כלשהו עובר, שלושה דברים מתרחשים:
הצפנה הופכת את הנתונים שלך לבלתי קריאים — רעש שרק הנמען המיועד יודע לפענח. כשאתה מקליד את מספר כרטיס האשראי שלך באתר HTTPS, הוא הופך לאותות חסרי משמעות ברגע שהוא עוזב את המכשיר שלך. פריצת הצפנה מודרנית בכוח גס תיקח זמן ארוך יותר מגיל היקום.
אימות מוכיח שאתה מדבר עם מי שאתה חושב. כשאתה מתחבר ל-https://yourbank.com, הדפדפן שלך דורש הוכחה קריפטוגרפית שהשרת הוא אכן הבנק שלך — ולא מישהו המתחזה לבנק שלך. הוכחה זו מגיעה בדמות אישור, חתום דיגיטלית על ידי רשות אישורים שתפקידה לאמת זהויות. הדפדפן שלך מגיע עם רשימה של רשויות שהוא סומך עליהן. הבנק מוכיח את זהותו לרשות, הרשות חותמת על אישור, הדפדפן שלך מאמת את החתימה. שרשרת אמון.
שלמות מזהה חבלה. HTTPS משתמש בבדיקות שלמות מתמטיות כדי לאמת שהנתונים הגיעו בדיוק כפי שנשלחו. אם מישהו מיירט את החיבור שלך ומנסה לשנות את ההעברה שלך מ-10 ₪ ל-10,000 ₪ — החישוב לא מסתדר. הדפדפן שלך דוחה את הנתונים שנחבלו.
שלושה מנגנונים. ערוץ מאובטח אחד דרך אינטרנט עוין.
מה קורה בלי ה-S
האיומים אינם תיאורטיים.
האזנה היא טריוויאלית ב-HTTP. Wi-Fi בבית קפה? כל אחד ברשת יכול לקרוא את התעבורה שלך עם תוכנה חינמית. רשת ארגונית? מחלקת ה-IT שלך רואה כל URL וכל שליחת טופס. הנח שמישהו מאזין — כי ב-HTTP, הוא יכול.
מתקפות אדם-בתווך הולכות רחוק יותר. תוקף מציב את עצמו בינך לבין האתר, מיירט את התעבורה בשני הכיוונים. הם לא רק קוראים — הם משנים. הם מזריקים פרסומות. הם מפנים אותך למסכי כניסה מזויפים. הם גונבים את ה-session שלך והופכים להיות אתה. ב-Wi-Fi לא מאובטח, זה דורש מיומנויות בסיסיות וכלים שניתן להוריד תוך דקות.
גניבת session מנצלת את האופן שבו HTTP מטפל ב"להישאר מחובר". כשאתה מסמן "זכור אותי", הדפדפן שלך שומר עוגיה — טוקן שמוכיח שאתה מאומת. ב-HTTP, אותה עוגיה עוברת כטקסט גלוי. גנוב את העוגיה, הפוך להיות המשתמש. ללא צורך בסיסמה.
שינוי שקט הוא אולי המסוכן ביותר. ספקי אינטרנט נתפסו מזריקים פרסומות לדפי HTTP. ממשלות ניצלו את היעדר השלמות של HTTP כדי לצנזר תוכן או לעקוב אחר אזרחים. גורמים זדוניים הזריקו כורי מטבע קריפטוגרפי ותוכנות זדוניות לאתרים לגיטימיים. HTTP לא מספק כל דרך לאמת שמה שאתה מקבל הוא מה שנשלח.
הקונצנזוס
האינטרנט קיבל את ההחלטה שלו: HTTPS כבר אינו אופציונלי.
Chrome מסמן אתרי HTTP כ"לא מאובטח". דפדפנים מסירים תכונות מ-HTTP — גישה למיקום, גישה למצלמה ו-service workers דורשים כעת HTTPS. מנועי חיפוש מדרגים אתרים מאובטחים גבוה יותר.
Let's Encrypt, שהושק ב-2016, הפך את האישורים לחינמיים ואוטומטיים. מחסום העלות נעלם. המחסום הטכני נעלם. HTTP נותר רק כמורשת וכרשלנות.
HTTPS לא מאט דברים — הצפנה מודרנית מוסיפה מילישניות ספורות, ו-HTTPS מאפשר HTTP/2 ו-HTTP/3, פרוטוקולים שהופכים את הרשת למהירה בהרבה ממה ש-HTTP היה אי פעם.
השאלה אינה אם להשתמש ב-HTTPS. השאלה היא למה בכלל עדיין קיים אתר שלא משתמש בו.
שאלות נפוצות על HTTP מול HTTPS
האם ספק האינטרנט שלי יכול לראות מה אני עושה באתרי HTTPS?
הוא יכול לראות שהתחברת לדומיין (כמו "amazon.com") — אבל לא לאילו עמודים ביקרת, מה חיפשת, או מה הקלדת. התוכן מוצפן. ב-HTTP, הם רואים הכול.
האם HTTPS איטי יותר מ-HTTP?
לא. עלות ההצפנה זניחה — מילישניות ספורות. HTTPS מאפשר HTTP/2 ו-HTTP/3, שהם מהירים משמעותית מ-HTTP רגיל. אתרים מאובטחים לעיתים קרובות נטענים מהר יותר.
איך אני יודע אם אתר משתמש ב-HTTPS?
הסתכל על שורת הכתובת. אתרי HTTPS מציגים סמל מנעול והכתובת מתחילה ב-https://. דפדפנים מזהירים אותך במפורש כשאתרים אינם מאובטחים.
האם כדאי להימנע מהזנת מידע כלשהו באתרי HTTP?
כן. לעולם אל תזין סיסמאות, פרטי כרטיס אשראי, או מידע אישי באתרי HTTP. הנח שכל מה שאתה מקליד מוקלט.
מה לגבי אתרי HTTP שאינם מטפלים בנתונים רגישים?
אפילו חיבורי HTTP "תמימים" ניתנים לניצול. תוקפים יכולים להזריק תוכנות זדוניות, להפנות אותך לדפי פישינג, או לעקוב אחר הגלישה שלך. אין סיבה לגיטימית לאף אתר להשתמש ב-HTTP כיום.
האם דף זה היה מועיל?