https Överallt

HTTPS överalltHTTPS överallt

Email: daniel@haxx.se

Twitter: @bagder

Web: daniel.haxx.se

Blog: daniel.haxx.se/blog

Daniel Stenberg

Jag tar gärna frågor – efteråt!

Vi börjar från början

Hur vi kom hitTim Berners-Lee uppfann World Wide Web 1989

HTTP är “språket” webbläsaren pratar med servern

HTTP överförs i klartext

1995 kom “SSL”

OrdsalladSSL är Secure Sockets Layer

… blev TLS, Transport Layer Security

HTTP + TLS = HTTPS

Webben

KlartextAlla som sitter “på vägen” kan se din trafik

De kan modifiera trafik

De kan stoppa in data som inte fanns där

De kan ta bort data

De kan avbryta trafiken

“Alla” kan vara din brödrost

Litegrann som vykort

Klartextwebben attackeras

HTTPS hjälper oss ordna detta

HTTPSKryptografiskt verifierad server

Etablerar en säker tunnel

Ingen på vägen kan se eller påverka datat

HTTPS

Nu skräms du väl mest ändå?

HTTP: lätt att lura

HTTPS: Avsändaren är verifierad

Grönt lås = huvudinnehållet kommer från den servern och allt innehåll på sidan är

säkrat med HTTPS

HTTPS: phishing finns ändå

Avsändaren garanteras, men innehållet kan ju fortfarande luras

HTTP: öppet för avlyssning

HTTPS: krypteratTar Många miljoner år att knäcka

Okrypterade login och sessioner är osäkra!

HTTP: öppet att injicera data

HTTPS: krypteratTunnel “end-to-end”

Förhindrar “hjälpsamma” förbättringar

HTTP: öppet att förändra data

HTTPS: krypteratMellanhänder ser ingen skillnad på vad som är vad

HTTP: öppet att spåra användare

HTTPS: krypteratIngen mellanhand kan stoppa in spårningsmarkeringar

HTTP är på väg ut

HTTP är på väg utIETF, IAB, W3C, US Government, Mozilla (Firefox), Google (Chrome):

“universal use of encryption by Internet applications”

HTTPS kliver över 50%

HTTP är “Not secure”

HTTPS öppnar dörren

Mellanboxar som förstörInternet är fullt av boxar som “förstår” HTTPDe tolkar trafik och “hjälper till”När man inför nyheter inom HTTP som servrar och klienter förstår…… så är Internet fullt av burkar som inte förstår det nya och nu tar sönder riktig trafik.

När trafiken är krypterad förblir den oförändrad

HTTP/2Förbättrar responsen hos sajter

Gör sajter snabbare

Brotli och nya komprimeringar

mindre mängd data mindre mängd data behöver överförasbehöver överföras

Kamera, mic, geolocation, etcKraftfulla rättigheter

Kommer/har slutat funka för HTTP

“HTTPS är långsamt”

HTTPS blir snabbareHTTP/2

TCP Fast Open

TLS 1.3

HTTPS summeratBekräftar avsändareGaranterar dataintegritetIngen avlyssnar eller spårarFår grönt ljus av webbläsarnaKan nyttja nya funktionerSnabbare i framtiden

Tack, det var allt!

Frågor?