HyperText Transfer Protocol Secure

HyperText Transfer Protocol Secure Szoftver Információ
Funkció Hypertext átvitel
Betűszó HTTPS
Létrehozás dátuma 1994
Kikötő 443
RFC 2000  : RFC  2818

A Hypertext Transfer Protocol Secure ( HTTPS , szó szerint "  protokoll transzfer hipertext biztonságos") az a kombináció, HTTP egy réteg titkosítás , mint az SSL vagy TLS .

HTTPS lehetővé teszi a látogatóknak, hogy ellenőrizze a személyazonosságát a honlap hozzáfér egy igazolást a hitelesítő által kibocsátott harmadik hatóság által nyújtott információ megbízható (és általában része a fehér lista a böngészők ). Elméletileg garantálja a felhasználó által elküldött adatok (különösen az űrlapokban megadott információk ) és a szervertől kapott adatok titkosságát és integritását . Használható a látogató személyazonosságának igazolására, ha az utóbbi ügyfél- hitelesítési tanúsítványt is használ .

A HTTPS-t kezdetben elsősorban online pénzügyi tranzakciókra használták: e-kereskedelem , online banki szolgáltatások , online közvetítés stb. Magánadatok , például e-mailek keresésére is használják .

2016-ban az Electronic Frontier Foundation kampánya, amelyet webböngésző-fejlesztők támogattak, sokkal népszerűbbé tette a protokollt. A webfelhasználók a HTTPS-t ma már gyakrabban használják, mint az eredeti nem védett HTTP-t, elsősorban minden típusú webhely, a fiókok biztonságának védelme érdekében, valamint a felhasználói kommunikáció, az identitás és a magánböngészés megőrzése érdekében.

A 2010-es évek eleje óta a HTTPS elterjedt a közösségi hálózatokon is .

Alapértelmezés szerint a HTTPS szerverek a 443 TCP porthoz vannak csatlakoztatva .

Ban ben 2017. január, A Google Chrome és a Mozilla Firefox megkezdte azon webhelyek azonosítását és jelentését, amelyek érzékeny információkat gyűjtenek a HTTPS protokoll használata nélkül. Ennek a változtatásnak a célja a HTTPS használatának jelentős növelése. Ban ben2017. február, a HTTPS biztonsági protokollt a francia internet körülbelül 16,28% -a használta.

Történelmi

A Netscape 1994-ben hozta létre a HTTPS-t a Netscape Navigatorhoz . A HTTPS-t eredetileg SSL-lel használták, utóbbi TLS -vé fejlődött , a HTTPS ma már TLS-t használ. Ezt az RFC 2818 szabvány határozza meg2000. május.

A Google bejelentette 2018. február hogy böngészője a HTTP-webhelyeket "nem biztonságosként" jeleníti meg 2018. július. Ez felgyorsította a HTTPS webhelyek általi elfogadását a forgalom elvesztésének elkerülése érdekében.

Működés elve

Informális leírás  : A protokoll megegyezik a szokásos HTTP webprotokollal , de a TLS nevű további összetevővel rendelkezik, amely egyszerűen így működik:

Röviden: a szerver és az ügyfél felismerték egymást, a kommunikáció titkosításának módját választották, és kódot (szimmetrikus titkosítási kulcsot) adtak át egymásnak titkosított módon.

HTTPS és hackelés

A biztonsági által továbbított információ a HTTPS használatára épül egy algoritmus a titkosítás , valamint a határozatok elismeréséről érvényességének hitelesítési tanúsítványt a helyszínen felkeresett.

Feltételezve, hogy az Internet felhasználók ritkán adja meg, milyen protokoll URL (HTTP történelmileg alapértelmezett beállítás), és egyszerűen követik a linkeket, a számítógépes biztonsági kutató által ismert álnév Moxie Marlinspike kifejlesztett egy támadás típusú támadás a középső ember ( „férfi a középső " angolul " , a HTTPS titkosításának megkerülésére. A hacker pozíciók magát a kliens és a szerver, és megváltoztatja a linkeket https: a http: , ezért az ügyfél küldi információkat egyértelmű keresztül HTTP protokoll nem HTTPS. Ezt a típusú támadást Marlinspike mutatta be a 2009. évi Blackhat konferencián . A beszélgetés során Marlinspike nemcsak a támadás működését mutatta be, hanem néhány használati statisztikát is. 24 órán belül sikerült visszaszereznie több száz személyi igazolványt , személyes adatokat és bankkártyaszámokat , senki sem sejtette, hogy folyamatban van a támadás.

A középső támadásban lévő másik férfit 2011 júliusában hajtották végre , csalással megszerezve az igazolásokat a régi DigiNotar tanúsító hatóságtól , amelyet feltörtek. Ezt a támadást hamis Google- webhelyek (csalárd tanúsítvány a * .google.com domainekhez ) létrehozására használták fel, és így kémkedtek az iráni felhasználók több GMail- fiókjával való konzultáció után .

A szeptember 2011 , Duong és Rizzo, két számítógépes biztonsági kutatók, bemutatták a Ekoparty biztonsági konferencián egy új típusú támadás, ezúttal alapuló dekódolás a csomagokat továbbítani a hálózaton keresztül. Ez a támadás használ biztonsági rés a titkosítás Cipher Block láncolása protokoll TLS 1.0, régóta ismert. A biztonsági rés kihasználásához szükséges beilleszteni a oldal konzultált a Javascript kódot kommunikál az értéket a munkamenet cookie- egy hálózati csomag szippantás , annak érdekében, hogy használja azt, hogy megfejtse a többi kommunikáció.

Csak a TLS 1.0-s titkosítást támogató webhelyeket érinti ez a biztonsági rés; dátumán azonban2011. szeptember, ez a webhelyek túlnyomó részét érinti, mivel a webhelyek és a böngészők vonakodnak a TLS 1.1 és 1.2 verzióinak bevezetésétől.

HTTPS és NSA

Ban ben 2013 szeptember, több újság Edward Snowden által benyújtott dokumentumoknak köszönhetően elárulta, hogy az NSA a Bullrun programján keresztül megpróbálja megtörni vagy gyengíteni a HTTPS protokollt vagy hardver- és szoftvergyártók általi megvalósítását, ezáltal világosan elérhetővé teszi a szolgáltatások számára Amerikai sok kommunikáció mégis titkosítva.

2014 elején az iOS 6/7 és Mac OS X 10.9 operációs rendszert futtató összes Apple eszközt megcélzó biztonsági rést kijavították , amely lehetővé tette azok számára, akiknek módjukban állt kiaknázni a HTTPS titkosítást (vagy pontosabban a TLS / SSL technológiákat ). A cég. Néhány pletyka azt sugallja, hogy ezt a biztonsági rést az NSA használta , vagy akár a kormányszervezet kérte az Apple segítségét a biztonsági rés létrehozásához (amit a vállalat tagad).

HSTS

A HTTP Strict Transport Security (HSTS) egy javasolt biztonsági házirend- mechanizmus , amely lehetővé teszi a webszerver számára, hogy kijelölje egy kompatibilis felhasználói ügynöknek (például egy webböngészőnek ), hogy biztonságos kapcsolat (például HTTPS) használatával kell interakcióba lépnie vele. A házirendet ezért a szerver a HTTP-válaszon keresztül továbbítja a felhasználói ügynökhöz a „ Szigorú-Szállítási-Biztonság  ” nevű fejléc mezőben  . A házirend meghatározza azt az időtartamot, amely alatt a felhasználói ügynöknek csak biztonságos módon kell hozzáférnie a szerverhez.

https

A titkosított HTTPS nem teszi lehetővé a köztes kiszolgálók számára az információkat tároló gyorsítótárat. Ezért a böngésző nem tudja megjeleníteni az információkat anélkül, hogy közvetlenül kérné őket a szervertől.

Megjegyzések és hivatkozások

  1. "  Bevezetés az SSL-be  " , a Google Livre-en ,2005. október 18(megtekintés : 2014. november 4. )
  2. (in) "  HTTP Over TLS  " Megjegyzések iránti kérelem, n o  2818,2000. május.
  3. (in) "  Web titkosítása  " az Electronic Frontier Foundationnél ,2016(megajándékozzuk 1 -jén január 2021 )
  4. (in) "  HTTP, HTTPS, SSL, TLS Over  " ,2019 november(megtekintve : 2019. november 19. )
  5. (hu-USA) „  Mozgás a biztonságosabb internet felé  ” , Google Online Security Blo ,2016. szeptember 8( online olvasás , konzultáció 2017. február 2-án )
  6. "  statisztikája a francia interneten. udomo.fr  ” , a www.udomo.fr oldalon (elérhető : 2017. február 2. )
  7. "  A biztonságos internet itt marad  " [ archívum2019. április 24] , a Chromium Blogon (hozzáférés : 2019. április 22. )
  8. https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf .
  9. https://www.orange-business.com/fr/blogs/securite/webtech/https-pwned
  10. Dan Goodin, „A  hackerek megsértik a webhelyek millióinak által használt SSL-titkosítást  ” , a theregister.co.uk oldalon ,2011. szeptember 19(megajándékozzuk 1 -jén szeptember 2020 ) .
  11. „  A hackerek szünet SSL titkosítást milliói használják helyek  ” a journaldunet.com (megajándékozzuk 1 -jén szeptember 2020 ) .
  12. Dan Goodin, „A  hackerek megsértik a webhelyek millióinak által használt SSL-titkosítást  ” , a theregister.co.uk oldalon ,2011. szeptember 19(megajándékozzuk 1 -jén szeptember 2020 ) .
  13. Le Monde.fr, "  Snowden-ügy: hogyan rontja az NSA a kommunikáció titkosítását  " , a Le Monde.fr oldalon ,2013. szeptember 5(megtekintés : 2013. szeptember 6. ) .
  14. "  Miért nagyon súlyos az Apple operációs rendszerében a" goto fail "hiba  ", Journal du net ,2014. február 24( online olvasás )
  15. Olivier, "Nem  sikerült: az iOS után az Apple végül bedugja az SSL hibát az OS X-be  ", Journal du geek ,2014. február 26( online olvasás )
  16. (in) Charles Arthur, "  Apple iPhone SSL biztonsági rés: hogyan történt, és mi a következő lépés?  " , The Guardian ,2014. február 25( online olvasás )

Lásd is

Kapcsolódó cikkek

Külső linkek