HyperText Transfer Protocol Secure
Fungere | Hypertekst transmission |
---|---|
Akronym | HTTPS |
Oprettelsesdato | 1994 |
Havn | 443 |
RFC | 2000 : RFC 2818 |
Den HyperText Transfer Protocol Secure ( HTTPS , bogstaveligt " protokol overførsel hypertekst sikker") er kombinationen af HTTP med et lag af kryptering såsom SSL eller TLS .
HTTPS tillader besøgende at kontrollere identiteten af den hjemmeside det får adgang gennem et certifikat for godkendelse udstedt af en tredje myndighed, anslået (og som regel en del af den hvide liste over webbrowsere ). I teorien garanterer det fortrolighed og integritet af data, der sendes af brugeren (især oplysninger indtastet i formularer ) og modtaget fra serveren . Det kan bruges til at validere den besøgendes identitet, hvis sidstnævnte også bruger et klientgodkendelsescertifikat .
HTTPS blev oprindeligt brugt primært til finansielle transaktioner online: e-handel , online bank , mæglervirksomhed online osv. Det bruges også til høring af private data, f.eks. E-mails .
I 2016 hjalp en kampagne fra Electronic Frontier Foundation , understøttet af webbrowserudviklere , med at gøre protokollen meget mere populær. HTTPS bruges nu oftere af webbrugere end den originale usikrede HTTP, primært for at beskytte ægtheden af sider på alle typer websteder, konti sikkert og for at holde brugerkommunikation, identitet og privat browsing.
Siden begyndelsen af 2010'erne er HTTPS også blevet udbredt på sociale netværk .
Som standard er HTTPS-servere tilsluttet TCP- port 443.
I januar 2017, Google Chrome og Mozilla Firefox er begyndt at identificere og rapportere websteder, der indsamler følsomme oplysninger uden at bruge HTTPS-protokollen. Denne ændring har til formål at øge brugen af HTTPS betydeligt. Ifebruar 2017, blev HTTPS-sikkerhedsprotokollen brugt af ca. 16,28% af det franske internet.
Netscape oprettede HTTPS i 1994 til sin Netscape Navigator . HTTPS blev oprindeligt brugt med SSL, sidstnævnte har udviklet sig til TLS , HTTPS bruger nu TLS. Dette er specificeret i RFC 2818 inMaj 2000.
Google annoncerede i februar 2018 at hans browser ville vise HTTP - sider som "usikre" fra måneden juli 2018. Dette fremskyndede vedtagelsen af HTTPS af websteder for at undgå tab af trafik.
Uformel beskrivelse : Protokollen er identisk med den sædvanlige HTTP -webprotokol , men med en ekstra ingrediens kaldet TLS, der fungerer ganske enkelt sådan:
Kort sagt: serveren og klienten har genkendt hinanden, har valgt en måde at kryptere kommunikationen på og har sendt en kode (symmetrisk krypteringsnøgle) til hinanden på en krypteret måde.
Sikkerheden af oplysninger fra HTTPS er baseret på brugen af en algoritme for kryptering , og om anerkendelse af gyldigheden af godkendelsescertifikat af webstedet besøges.
Under forudsætning af at internetbrugere sjældent angiver typen af protokol i URL'er (HTTP er historisk set blevet valgt som standard) og blot følger links, har en computersikkerhedsforsker kendt under pseudonymet Moxie Marlinspike udviklet et angrebstype angreb af mellemmanden ( "mand i midten " på engelsk) for at omgå kryptering af HTTPS. De hacker positioner selv mellem klienten og serveren og ændrer links fra https: til http: , så kunden sender sin information i klar via HTTP -protokollen og ikke HTTPS. Denne type angreb blev præsenteret af Marlinspike på Blackhat Conference 2009 . Under denne samtale præsenterede Marlinspike ikke kun, hvordan angrebet fungerer, men også nogle brugsstatistikker. Han formåede at gendanne flere hundrede id'er , personlige oplysninger og bankkortnumre inden for 24 timer, uden at nogen mistænkte angrebet i gang.
En anden mand i midtangrebet blev gennemført i juli 2011 ved bedragerisk at få gyldige certifikater fra den gamle certificeringsmyndighed DigiNotar , som var blevet hacket. Dette angreb blev brugt til at oprette falske Google- websteder (svigagtigt certifikat til * .google.com- domæner ) og dermed spionere på konsultation af flere GMail- konti for iranske brugere .
I september 2011 præsenterede Duong og Rizzo, to forskere inden for computersikkerhed, på Ekoparty Security Conference en ny type angreb, denne gang baseret på dekryptering af pakker transmitteret over netværket. Dette angreb bruger en sårbarhed af kryptering Cipher Block Chaining protocol TLS 1.0, der er kendt. For at udnytte denne sårbarhed, er det nødvendigt at indsætte i siden hørt en Javascript-kode kommunikere værdien af sessionen cookie til et netværk packet sniffer , med henblik på at bruge den til at dekryptere resten af kommunikationen.
Kun websteder, der understøtter TLS-kryptering version 1.0, påvirkes af denne sårbarhed. dog på datoen forseptember 2011, dette vedrører langt størstedelen af websteder på grund af tilbageholdenhed fra websteder og browsere til at implementere TLS version 1.1 og 1.2.
I September 2013, flere aviser afslører takket være dokumenter leveret af Edward Snowden , at NSA gennem Bullrun- programmet søger at bryde eller svække HTTPS-protokollen eller dens implementeringer af hardware- og softwareproducenter, hvilket gør det tilgængeligt i det tydelige for amerikanske tjenester, mange kommunikationer endnu krypteret.
I begyndelsen af 2014 er en sårbarhed rettet mod alle Apple- enheder, der kører iOS 6/7 og Mac OS X 10.9, der tillader dem, der havde midlerne til at udnytte den, at ødelægge HTTPS-kryptering (eller mere specifikt TLS / SSL- teknologier ), blevet rettet af firmaet. Nogle rygter antyder, at denne sårbarhed blev brugt af NSA , eller endda at det var den offentlige organisation, der anmodede om Apples hjælp til at skabe denne sårbarhed (som virksomheden benægter).
HTTP Strict Transport Security (HSTS) er en foreslået sikkerhedspolitisk mekanisme , der gør det muligt for en webserver at erklære overfor en kompatibel brugeragent (såsom en webbrowser ), at den skal interagere med den ved hjælp af en sikker forbindelse (såsom HTTPS). Politikken kommunikeres derfor til brugeragenten af serveren via HTTP-svaret i overskriftsfeltet " Strict-Transport-Security ". Politikken specificerer et tidsrum, hvor brugeragenten kun skal få adgang til serveren på en sikker måde.
HTTPS tillader ikke, at den mellemliggende server har en cachehukommelse, der gemmer information, fordi den er krypteret. Derfor kan browseren ikke vise oplysningerne uden direkte at anmode om det fra serveren.