HTTPS

Fra IT2
Hopp til: navigasjon, søk

HTTPS er en sikker utgave av HTTP, som er kommunikasjonsprotokollen til World Wide Web. Det ble oppfunnet av Netscape Communications Corporation for å tilby autentisering og kryptering av kommunikasjon i forbindelse med elektronisk handel ved hjelp av digitale sertifikater.

En HTTPS-sesjon blir kryptert enten ved bruk av SSL-protokollen (Secure Socket Layer) eller TLS-protokollen (Transport Layer Security), og tilbyr på denne måten er fornuftig beskyttelse mot «tyvlytting», og at noen endrer på de sendte dataene.

Graden av beskyttelse avhenger av hvor korrekt implementasjonen av HTTPS er i nettleseren, tjeneren og den faktiske krypteringsalgoritmen som er brukt.

Nettsider som benytter HTTPS har en URL som begynner med «https://» i stedet for «http://».

Virkemåte

Egentlig så er ikke https en egen protokoll men kombinasjonen av vanlig HTTP over en kryptert SSL (Secure Sockets Layer) eller TLS (Transport Layer Security) kopling. Dette skaper en brukbar beskyttelse mot avlytting og mellom-ledds angrep.

En https: URL kan spesifisere hvilken TCP/IP port som skal brukes. Hvis ikke brukes port 443 (usikret HTTP bruker typisk port 80).

Når en web-servertjener skal settes opp for til å akseptere https forbindelser må administratoren skape ett digitalt sertifikat for web-tjeneren. Disse serfikatene kan skapes for Unix baserte tjenere med verktøy som OpenSSL sin ssl-ca eller SuSE sin gensslcert. Dette serfikatet må så signeres av en eller annen serfikat-autoritet. Dette beviser at serfikat-eieren virkelig er entiteten den oppgir å være. F.eks en organisasjon eller en person. Nettlesere er generellt distribuert med signerings serfikatene til kjente sertifikat autoriteter for å kunne verifisere at serfikatene virkelig var signert av dem.

Organisasjoner kan også drive deres egen serfikat autoritet. Spesielt om de er ansvarlige for å sette opp nettlesere for å aksessere deres egne sider (for eksempel et internt intranet). Da kan de enkelt legge til sine egne signeringsserfikater med de som fulgte med nettleseren.

Noen sider, spesielt de drevet av hobbybrukere, bruker selv-signerte serfikater på offentlige nettsider. Ved å gjøre dette sikrer de seg mot enkel avlytting, men dette kan ikke stoppe et mellomledds-angrep slikt et godtkjent serfikat kan.

Systemet kan også brukes til klient pålitelighetskontroll for å begrense tilgang til en Web-tjener bare til autoriserte brukere. For å virkeliggjøre dette lager typiskt nettstedets administrator serfikater for hver bruker. Serfikatene lastes inn i brukerens nettleser. Disse inneholder normalt navnet og epostadressen til brukeren, og sjekkes automatisk av tjeneren ved hver nye oppkopling. Dette kan brukes i stedet for å måtte taste inn ett passord.