Does HTTPS mean a website is safe?

No. HTTPS with a padlock icon only means the connection between your browser and the server is encrypted. It says nothing about whether the website itself is legitimate, trustworthy, or free of malware. Attackers routinely obtain free TLS certificates for phishing sites. According to the Anti-Phishing Working Group, over 80% of phishing sites now use HTTPS. The padlock confirms encryption in transit, not the identity or intentions of whoever runs the site.

What do certificate warnings in the browser actually mean?

Browser certificate warnings indicate a problem with the site's TLS certificate. An expired certificate means the site operator failed to renew it, which could signal poor maintenance or a compromised server. A mismatched certificate means the domain in the URL does not match the domain the certificate was issued for, which is a common indicator of phishing or man-in-the-middle attacks. Users should never click through these warnings, especially on sites handling sensitive data.

HTTPS та безпека вебсайтів

Learn why the padlock icon is not proof of safety.

Що таке HTTPS та безпека вебсайтів?

HTTPS означає, що з'єднання між Вашим браузером і вебсайтом зашифроване, але це не гарантує, що сам сайт є легітимним. Ця вправа ставить Вас перед кількома вебсайтами, де потрібно оцінити, чи є з'єднання справді безпечним. Один сайт показує значок замка, але використовує прострочений сертифікат. Інший має дійсний сертифікат, виданий зовсім іншій організації. Третій викликає сторінку попередження у Вашому браузері, і Вам потрібно вирішити, чи натиснути 'Продовжити', чи піти. Симуляція пояснює, що саме доводить TLS-сертифікат, хто їх видає і чому безкоштовні сертифікати від сервісів на кшталт Let's Encrypt означають, що навіть phishing-сайти можуть показувати замок. Ви вивчите деталі сертифіката у браузері, помітите невідповідність доменних імен і розпізнаєте конкретні повідомлення, що свідчать про атаку 'людина посередині' (man-in-the-middle). Це різниця між відчуттям безпеки та реальною безпекою в інтернеті.

Що ви дізнаєтесь у HTTPS та безпека вебсайтів

Перевіряти TLS-сертифікат вебсайту для підтвердження центру сертифікації та відповідності домену
Розуміти різницю між зашифрованим з'єднанням і надійним вебсайтом
Виявляти прострочені, самопідписані та невідповідні сертифікати за допомогою індикаторів попереджень браузера
Приймати правильні рішення, коли браузери відображають сторінки попередження про сертифікати
Розуміти, чому наявність значка замка сама по собі є недостатнім доказом легітимності вебсайту

HTTPS та безпека вебсайтів — Кроки навчання

Робота з кав'ярні

Ваш домашній Інтернет не працює сьогодні вранці, і вам потрібно завершити термінове завдання з нарахування зарплати до кінця дня. Ви пішли до сусідньої кав’ярні та під’єдналися до їхньої безкоштовної мережі Wi-Fi — «CafeConnect Free WiFi» — відкритої мережі без пароля.
Електронний лист від HR

Від відділу кадрів надійшов новий електронний лист про щорічну перевірку прямого депозиту.
Перехід до порталу Payroll Portal

Аліса натискає посилання в електронному листі відділу кадрів, щоб відкрити портал із заробітної плати. Вона робила це раніше – це рутинна річна задача. Невідомо Алісі, зловмисник у тій самій Wi-Fi-мережі кав’ярні проводить SSL-атаку. Зловмисник перехопив запит Аліси та мовчки знизив рівень підключення з HTTPS до HTTP. Сторінка завантажується нормально, але без шифрування.
Вхід в систему

Платіжний портал виглядає саме так, як пам’ятає Аліса – логотип «Меридіан», знайома синя колірна схема, стандартна форма входу. Вона без вагань вводить свої робочі дані. Аліса не помітила, що її менеджер паролів не запропонував автозаповнення – URL-адреса порталу не відповідає жодному збереженому запису.
Підтвердження банківських реквізитів

Після входу в систему портал просить Алісу підтвердити дані свого банківського рахунку для прямого депозиту. У формі запитується номер маршруту та номер рахунку – стандартна інформація для щорічної перевірки.
Доступ до іншої системи

Перед тим, як піти додому, Аліса вирішує швидко перевірити внутрішню інформаційну панель проекту, щоб переглянути розклад на завтра.
Прислухаючись до попередження

Замість інформаційної панелі Аліса бачить різке попередження: «Ваше підключення не є приватним». Вона не впевнена, що це стало причиною, але попередження виглядає серйозним. Попередження про сертифікат з’явилося через те, що зловмисник MITM намагався перехопити це з’єднання HTTPS, але браузер виявив недійсний сертифікат і заблокував сторінку. Аліса вирішує не продовжувати.
Сповіщення про банківське шахрайство

Через два дні Аліса сідає за свій стіл, щоб почати день. Терміновий електронний лист від її банку чекає на її вхідні.
Сповіщення безпеки ІТ

Перш ніж Аліса встигла обробити сповіщення про банківське шахрайство, надійшов ще один електронний лист — цього разу від команди ІТ-безпеки Meridian.
З’єднання точок

У Аліси опускається живіт. Несанкціоноване зняття коштів банком. Підозрілий вхід з України. Обидва випадки відбулися одразу після того, як вона скористалася Wi-Fi у кафе два дні тому. Вона знову читає попередження про безпеку ІТ, цього разу зі зростаючим страхом.

Що таке HTTPS та безпека вебсайтів?

Що ви дізнаєтесь у HTTPS та безпека вебсайтів

HTTPS та безпека вебсайтів — Кроки навчання

Робота з кав'ярні

Електронний лист від HR

Перехід до порталу Payroll Portal

Вхід в систему

Підтвердження банківських реквізитів

Доступ до іншої системи

Прислухаючись до попередження

Сповіщення про банківське шахрайство

Сповіщення безпеки ІТ

З’єднання точок