HyperText Transfer Protocol Secure



Den information, vi har kunnet samle om HyperText Transfer Protocol Secure, er blevet omhyggeligt gennemgået og struktureret for at gøre den så nyttig som muligt. Du er sandsynligvis kommet her for at finde ud af mere om HyperText Transfer Protocol Secure. På internettet er det let at fare vild i et virvar af sider, der taler om HyperText Transfer Protocol Secure, men som ikke giver dig det, du gerne vil vide om HyperText Transfer Protocol Secure. Vi håber, at du vil fortælle os i kommentarerne, om du kan lide det, du har læst om HyperText Transfer Protocol Secure nedenfor. Hvis de oplysninger om HyperText Transfer Protocol Secure, som vi giver dig, ikke er hvad du søgte, så lad os det vide, så vi kan forbedre denne hjemmeside dagligt.

.

HyperText Transfer Protocol Secure
Software
Information
Fungere Hypertekst transmission
Akronym HTTPS
Oprettelsesdato 1994
Havn 443
RFC 2000  : RFC  2818

Den HyperText Transfer Protocol Secure ( HTTPS , bogstaveligt "  protokol overførsel hypertekst sikker") er kombinationen af HTTP med et lag af kryptering såsom SSL eller TLS .

HTTPS tillader besøgende at kontrollere identiteten af den hjemmeside det får adgang gennem et certifikat for godkendelse udstedt af en tredje myndighed, anslået (og som regel en del af den hvide liste over webbrowsere ). I teorien garanterer det fortrolighed og integritet af data, der sendes af brugeren (især oplysninger indtastet i formularer ) og modtaget fra serveren . Det kan bruges til at validere den besøgendes identitet, hvis sidstnævnte også bruger et klientgodkendelsescertifikat .

HTTPS blev oprindeligt brugt primært til finansielle transaktioner online: e-handel , online bank , mæglervirksomhed online osv. Det bruges også til høring af private data, f.eks. E-mails .

I 2016 hjalp en kampagne fra Electronic Frontier Foundation , understøttet af webbrowserudviklere , med at gøre protokollen meget mere populær. HTTPS bruges nu oftere af webbrugere end den originale usikrede HTTP, primært for at beskytte ægtheden af ​​sider på alle typer websteder, konti sikkert og for at holde brugerkommunikation, identitet og privat browsing.

Siden begyndelsen af 2010'erne er HTTPS også blevet udbredt på sociale netværk .

Som standard er HTTPS-servere tilsluttet TCP- port 443.

I , Google Chrome og Mozilla Firefox er begyndt at identificere og rapportere websteder, der indsamler følsomme oplysninger uden at bruge HTTPS-protokollen. Denne ændring har til formål at øge brugen af ​​HTTPS betydeligt. I, blev HTTPS-sikkerhedsprotokollen brugt af ca. 16,28% af det franske internet.

Historisk

Netscape oprettede HTTPS i 1994 til sin Netscape Navigator . HTTPS blev oprindeligt brugt med SSL, sidstnævnte har udviklet sig til TLS , HTTPS bruger nu TLS. Dette er specificeret i RFC 2818 in.

Google annoncerede i at hans browser ville vise HTTP - sider som "usikre" fra måneden . Dette fremskyndede vedtagelsen af ​​HTTPS af websteder for at undgå tab af trafik.

Driftsprincip

Uformel beskrivelse  : Protokollen er identisk med den sædvanlige HTTP -webprotokol , men med en ekstra ingrediens kaldet TLS, der fungerer ganske enkelt sådan:

  • kunden - f.eks webbrowseren - kontakter en server - for eksempel Wikipedia - og anmoder om en sikker forbindelse, præsentere det med en række tilslutningsmuligheder krypteringsmetoder (cipher suiter );
  • serveren reagerer ved at bekræfte, at den kan kommunikere på en sikker måde og ved at vælge en krypteringsmetode fra denne liste og frem for alt ved at fremstille et certifikat, der garanterer, at det faktisk er den pågældende server og ikke en skjult piratserver (vi taler om menneskelig midte).
    Disse elektroniske certifikater udstedes af en tredjepartsmyndighed, som alle har tillid til, lidt som en notar i hverdagen, og klienten har været i stand til at kontrollere med denne myndighed, at certifikatet er autentisk (der er andre varianter, men dette er det generelle princip).
    Certifikatet indeholder også en slags hængelås (en såkaldt offentlig nøgle), der gør det muligt at tage en besked og blande den med denne hængelås for at gøre den helt hemmelig og kun dekrypterbar af den server, der udstedte denne hængelås (takket være en så -kaldt privat nøgle, som kun serveren ejer, vi taler om asymmetrisk kryptering );
  • dette gør det muligt for klienten at hemmeligt sende en kode (en symmetrisk nøgle ), der blandes i alle udvekslinger mellem serveren og klienten, så alt indholdet i kommunikationen - inklusive selve webstedets adresse, URL'en  - krypteres. For at gøre dette blandes indholdet med koden, der giver en uadskillelig besked, og ved ankomst, gentager den samme operation med denne meddelelse, returnerer indholdet klart som i et spejl.

Kort sagt: serveren og klienten har genkendt hinanden, har valgt en måde at kryptere kommunikationen på og har sendt en kode (symmetrisk krypteringsnøgle) til hinanden på en krypteret måde.

HTTPS og hacking

Sikkerheden af oplysninger fra HTTPS er baseret på brugen af en algoritme for kryptering , og om anerkendelse af gyldigheden af godkendelsescertifikat af webstedet besøges.

Under forudsætning af at internetbrugere sjældent angiver typen af ​​protokol i URL'er (HTTP er historisk set blevet valgt som standard) og blot følger links, har en computersikkerhedsforsker kendt under pseudonymet Moxie Marlinspike udviklet et angrebstype angreb af mellemmanden ( "mand i midten " på engelsk) for at omgå kryptering af HTTPS. De hacker positioner selv mellem klienten og serveren og ændrer links fra https: til http: , så kunden sender sin information i klar via HTTP -protokollen og ikke HTTPS. Denne type angreb blev præsenteret af Marlinspike på Blackhat Conference 2009 . Under denne samtale præsenterede Marlinspike ikke kun, hvordan angrebet fungerer, men også nogle brugsstatistikker. Han formåede at gendanne flere hundrede id'er , personlige oplysninger og bankkortnumre inden for 24 timer, uden at nogen mistænkte angrebet i gang.

En anden mand i midtangrebet blev gennemført i juli 2011 ved bedragerisk at få gyldige certifikater fra den gamle certificeringsmyndighed DigiNotar , som var blevet hacket. Dette angreb blev brugt til at oprette falske Google- websteder (svigagtigt certifikat til * .google.com- domæner ) og dermed spionere på konsultation af flere GMail- konti for iranske brugere .

I september 2011 præsenterede Duong og Rizzo, to forskere inden for computersikkerhed, på Ekoparty Security Conference en ny type angreb, denne gang baseret på dekryptering af pakker transmitteret over netværket. Dette angreb bruger en sårbarhed af kryptering Cipher Block Chaining protocol TLS 1.0, der er kendt. For at udnytte denne sårbarhed, er det nødvendigt at indsætte i siden hørt en Javascript-kode kommunikere værdien af sessionen cookie til et netværk packet sniffer , med henblik på at bruge den til at dekryptere resten af kommunikationen.

Kun websteder, der understøtter TLS-kryptering version 1.0, påvirkes af denne sårbarhed. dog på datoen for, dette vedrører langt størstedelen af ​​websteder på grund af tilbageholdenhed fra websteder og browsere til at implementere TLS version 1.1 og 1.2.

HTTPS og NSA

I , flere aviser afslører takket være dokumenter leveret af Edward Snowden , at NSA gennem Bullrun- programmet søger at bryde eller svække HTTPS-protokollen eller dens implementeringer af hardware- og softwareproducenter, hvilket gør det tilgængeligt i det tydelige for amerikanske tjenester, mange kommunikationer endnu krypteret.

I begyndelsen af ​​2014 er en sårbarhed rettet mod alle Apple- enheder, der kører iOS 6/7 og Mac OS X 10.9, der tillader dem, der havde midlerne til at udnytte den, at ødelægge HTTPS-kryptering (eller mere specifikt TLS / SSL- teknologier ), blevet rettet af firmaet. Nogle rygter antyder, at denne sårbarhed blev brugt af NSA , eller endda at det var den offentlige organisation, der anmodede om Apples hjælp til at skabe denne sårbarhed (som virksomheden benægter).

HSTS

HTTP Strict Transport Security (HSTS) er en foreslået sikkerhedspolitisk mekanisme , der gør det muligt for en webserver at erklære overfor en kompatibel brugeragent (såsom en webbrowser ), at den skal interagere med den ved hjælp af en sikker forbindelse (såsom HTTPS). Politikken kommunikeres derfor til brugeragenten af ​​serveren via HTTP-svaret i overskriftsfeltet "  Strict-Transport-Security  ". Politikken specificerer et tidsrum, hvor brugeragenten kun skal få adgang til serveren på en sikker måde.

https

HTTPS tillader ikke, at den mellemliggende server har en cachehukommelse, der gemmer information, fordi den er krypteret. Derfor kan browseren ikke vise oplysningerne uden direkte at anmode om det fra serveren.

Noter og referencer

  1. Introduktion til SSL  " , på Google Livre ,(adgang til 4. november 2014 )
  2. (in)HTTP Over TLS  " Anmodning om kommentarer nr .  2818,.
  3. (in) Kryptering af Internettet  "Electronic Frontier Foundation ,(tilgængelige på en st januar 2021 )
  4. (in) HTTP, HTTPS, SSL, TLS Over  " ,(adgang 19. november 2019 )
  5. (da-USA) Bevæger sig mod et mere sikkert web  " , Google Online Security Blo ,( læs online , hørt 2. februar 2017 )
  6. Statistikker over den franske internettet. udomo.fr  ” , på www.udomo.fr (adgang 2. februar 2017 )
  7. Et sikkert web er kommet for at blive  " [ arkiv af] , på Chromium Blog (adgang til 22. april 2019 )
  8. https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf .
  9. https://www.orange-business.com/fr/blogs/securite/webtech/https-pwned
  10. Dan Goodin, “  Hackere bryder SSL-kryptering brugt af millioner af sider  ” , på theregister.co.uk ,(tilgængelige på en st september 2020- ) .
  11. Hackere pause SSL-kryptering, der anvendes af millioner af websteder  "journaldunet.com (tilgængelige på en st september 2020- ) .
  12. Dan Goodin, “  Hackere bryder SSL-kryptering brugt af millioner af sider  ” , på theregister.co.uk ,(tilgængelige på en st september 2020- ) .
  13. Le Monde.fr, Snowden-affære: hvordan NSA forfalder kryptering af kommunikation  " , på Le Monde.fr ,(adgang til 6. september 2013 ) .
  14. Hvorfor den 'goto fejle' fejl i Apples OS er meget alvorlig,  " Journal du netto ,( læs online )
  15. Olivier, "  Goto fail: efter iOS tilslutter Apple endelig SSL-fejlen på OS X  ", Journal du geek ,( læs online )
  16. (i) Charles Arthur, Apples iPhone SSL sårbarhed: hvordan skete det, og hvad det næste  " , The Guardian ,( læs online )

Se også

Relaterede artikler

eksterne links

Vi håber, at de oplysninger, vi har indsamlet om HyperText Transfer Protocol Secure, har været nyttige for dig. Hvis det er tilfældet, så glem ikke at anbefale os til dine venner og familie, og husk, at du altid kan kontakte os, hvis du har brug for os. Hvis du på trods af vores bestræbelser mener, at det, vi har leveret om _title, ikke er helt korrekt, eller at vi bør tilføje eller rette noget, vil vi være taknemmelige, hvis du vil give os besked. At give den bedste og mest omfattende information om HyperText Transfer Protocol Secure og ethvert andet emne er essensen af denne hjemmeside; vi er drevet af den samme ånd, som inspirerede skaberne af Encyclopedia Project, og derfor håber vi, at det, du har fundet om HyperText Transfer Protocol Secure på denne hjemmeside, har hjulpet dig med at udvide din viden.

Opiniones de nuestros usuarios

Rasmus Poulsen

Artiklen om HyperText Transfer Protocol Secure er omfattende og velforklaret. Jeg ville ikke fjerne eller tilføje et komma., Artiklen om HyperText Transfer Protocol Secure er komplet og velforklaret

Simon Danielsen

For dem som mig, der søger oplysninger om HyperText Transfer Protocol Secure, er dette et meget godt valg., God artikel om HyperText Transfer Protocol Secure, Godt indlæg

Emil Kragh

Det er længe siden, at jeg har set en artikel om HyperText Transfer Protocol Secure skrevet på en så didaktisk måde. Jeg kan godt lide det

Lisbeth Nygaard

Dette indlæg om HyperText Transfer Protocol Secure har hjulpet mig med at færdiggøre mit arbejde til i morgen i sidste øjeblik. Jeg kunne allerede se mig selv gå tilbage til Wikipedia, hvilket læreren forbyder os at gøre. Tak, fordi du reddede mig