HyperText Transfer Protocol Secure
Funkció | Hypertext átvitel |
---|---|
Betűszó | HTTPS |
Létrehozás dátuma | 1994 |
Kikötő | 443 |
RFC | 2000 : RFC 2818 |
A Hypertext Transfer Protocol Secure ( HTTPS , szó szerint " protokoll transzfer hipertext biztonságos") az a kombináció, HTTP egy réteg titkosítás , mint az SSL vagy TLS .
HTTPS lehetővé teszi a látogatóknak, hogy ellenőrizze a személyazonosságát a honlap hozzáfér egy igazolást a hitelesítő által kibocsátott harmadik hatóság által nyújtott információ megbízható (és általában része a fehér lista a böngészők ). Elméletileg garantálja a felhasználó által elküldött adatok (különösen az űrlapokban megadott információk ) és a szervertől kapott adatok titkosságát és integritását . Használható a látogató személyazonosságának igazolására, ha az utóbbi ügyfél- hitelesítési tanúsítványt is használ .
A HTTPS-t kezdetben elsősorban online pénzügyi tranzakciókra használták: e-kereskedelem , online banki szolgáltatások , online közvetítés stb. Magánadatok , például e-mailek keresésére is használják .
2016-ban az Electronic Frontier Foundation kampánya, amelyet webböngésző-fejlesztők támogattak, sokkal népszerűbbé tette a protokollt. A webfelhasználók a HTTPS-t ma már gyakrabban használják, mint az eredeti nem védett HTTP-t, elsősorban minden típusú webhely, a fiókok biztonságának védelme érdekében, valamint a felhasználói kommunikáció, az identitás és a magánböngészés megőrzése érdekében.
A 2010-es évek eleje óta a HTTPS elterjedt a közösségi hálózatokon is .
Alapértelmezés szerint a HTTPS szerverek a 443 TCP porthoz vannak csatlakoztatva .
Ban ben 2017. január, A Google Chrome és a Mozilla Firefox megkezdte azon webhelyek azonosítását és jelentését, amelyek érzékeny információkat gyűjtenek a HTTPS protokoll használata nélkül. Ennek a változtatásnak a célja a HTTPS használatának jelentős növelése. Ban ben2017. február, a HTTPS biztonsági protokollt a francia internet körülbelül 16,28% -a használta.
A Netscape 1994-ben hozta létre a HTTPS-t a Netscape Navigatorhoz . A HTTPS-t eredetileg SSL-lel használták, utóbbi TLS -vé fejlődött , a HTTPS ma már TLS-t használ. Ezt az RFC 2818 szabvány határozza meg2000. május.
A Google bejelentette 2018. február hogy böngészője a HTTP-webhelyeket "nem biztonságosként" jeleníti meg 2018. július. Ez felgyorsította a HTTPS webhelyek általi elfogadását a forgalom elvesztésének elkerülése érdekében.
Informális leírás : A protokoll megegyezik a szokásos HTTP webprotokollal , de a TLS nevű további összetevővel rendelkezik, amely egyszerűen így működik:
Röviden: a szerver és az ügyfél felismerték egymást, a kommunikáció titkosításának módját választották, és kódot (szimmetrikus titkosítási kulcsot) adtak át egymásnak titkosított módon.
A biztonsági által továbbított információ a HTTPS használatára épül egy algoritmus a titkosítás , valamint a határozatok elismeréséről érvényességének hitelesítési tanúsítványt a helyszínen felkeresett.
Feltételezve, hogy az Internet felhasználók ritkán adja meg, milyen protokoll URL (HTTP történelmileg alapértelmezett beállítás), és egyszerűen követik a linkeket, a számítógépes biztonsági kutató által ismert álnév Moxie Marlinspike kifejlesztett egy támadás típusú támadás a középső ember ( „férfi a középső " angolul " , a HTTPS titkosításának megkerülésére. A hacker pozíciók magát a kliens és a szerver, és megváltoztatja a linkeket https: a http: , ezért az ügyfél küldi információkat egyértelmű keresztül HTTP protokoll nem HTTPS. Ezt a típusú támadást Marlinspike mutatta be a 2009. évi Blackhat konferencián . A beszélgetés során Marlinspike nemcsak a támadás működését mutatta be, hanem néhány használati statisztikát is. 24 órán belül sikerült visszaszereznie több száz személyi igazolványt , személyes adatokat és bankkártyaszámokat , senki sem sejtette, hogy folyamatban van a támadás.
A középső támadásban lévő másik férfit 2011 júliusában hajtották végre , csalással megszerezve az igazolásokat a régi DigiNotar tanúsító hatóságtól , amelyet feltörtek. Ezt a támadást hamis Google- webhelyek (csalárd tanúsítvány a * .google.com domainekhez ) létrehozására használták fel, és így kémkedtek az iráni felhasználók több GMail- fiókjával való konzultáció után .
A szeptember 2011 , Duong és Rizzo, két számítógépes biztonsági kutatók, bemutatták a Ekoparty biztonsági konferencián egy új típusú támadás, ezúttal alapuló dekódolás a csomagokat továbbítani a hálózaton keresztül. Ez a támadás használ biztonsági rés a titkosítás Cipher Block láncolása protokoll TLS 1.0, régóta ismert. A biztonsági rés kihasználásához szükséges beilleszteni a oldal konzultált a Javascript kódot kommunikál az értéket a munkamenet cookie- egy hálózati csomag szippantás , annak érdekében, hogy használja azt, hogy megfejtse a többi kommunikáció.
Csak a TLS 1.0-s titkosítást támogató webhelyeket érinti ez a biztonsági rés; dátumán azonban2011. szeptember, ez a webhelyek túlnyomó részét érinti, mivel a webhelyek és a böngészők vonakodnak a TLS 1.1 és 1.2 verzióinak bevezetésétől.
Ban ben 2013 szeptember, több újság Edward Snowden által benyújtott dokumentumoknak köszönhetően elárulta, hogy az NSA a Bullrun programján keresztül megpróbálja megtörni vagy gyengíteni a HTTPS protokollt vagy hardver- és szoftvergyártók általi megvalósítását, ezáltal világosan elérhetővé teszi a szolgáltatások számára Amerikai sok kommunikáció mégis titkosítva.
2014 elején az iOS 6/7 és Mac OS X 10.9 operációs rendszert futtató összes Apple eszközt megcélzó biztonsági rést kijavították , amely lehetővé tette azok számára, akiknek módjukban állt kiaknázni a HTTPS titkosítást (vagy pontosabban a TLS / SSL technológiákat ). A cég. Néhány pletyka azt sugallja, hogy ezt a biztonsági rést az NSA használta , vagy akár a kormányszervezet kérte az Apple segítségét a biztonsági rés létrehozásához (amit a vállalat tagad).
A HTTP Strict Transport Security (HSTS) egy javasolt biztonsági házirend- mechanizmus , amely lehetővé teszi a webszerver számára, hogy kijelölje egy kompatibilis felhasználói ügynöknek (például egy webböngészőnek ), hogy biztonságos kapcsolat (például HTTPS) használatával kell interakcióba lépnie vele. A házirendet ezért a szerver a HTTP-válaszon keresztül továbbítja a felhasználói ügynökhöz a „ Szigorú-Szállítási-Biztonság ” nevű fejléc mezőben . A házirend meghatározza azt az időtartamot, amely alatt a felhasználói ügynöknek csak biztonságos módon kell hozzáférnie a szerverhez.
A titkosított HTTPS nem teszi lehetővé a köztes kiszolgálók számára az információkat tároló gyorsítótárat. Ezért a böngésző nem tudja megjeleníteni az információkat anélkül, hogy közvetlenül kérné őket a szervertől.