HTTPS

HTTPS- HyperText Transfer Protocol Secure. Rozszerzenie protokołu HTTP, które służy to szyfrowania danych. Dane przesyłane za pośrednictwem protokołu HTTPS, są ukrywane przy użyciu protokołu kryptograficznego SSL lub TLS, co zapewnia im ochronę.

Protokół ten został opracowany przez Netscape Communications Corporation, w celu zapewnienia należytego uwierzytelniania i bezpiecznego połączenia. HTTPS jest szeroko stosowany w środowisku internetowym, w szczególności znajduje on zastosowanie w aplikacjach, gdzie ważne jest bezpieczeństwo przekazywania danych, np. systemy płatności.
HTTPS jest obsługiwany przez wszystkie popularne przeglądarki.

Zasady działania

Domyślnie HTTPS używa portu 443 TCP (niezabezpieczony protokół HTTP używa portu 80). W celu przygotowania serwera do obsługi połączenia HTTPS, administrator musi uzyskać i zainstalować certyfikat w systemie dla danego serwera sieci Web. Certyfikat składa się z dwóch części (2 kluczy) - public i private. Część public certyfikatu jest używana do szyfrowania ruchu od klienta do serwera podczas bezpiecznego połączenia, natomiast private do odszyfrowania przez serwer otrzymanych od klienta danych. Po wygenerowaniu pary kluczy private/public, na podstawie klucza publicznego do urzędu certyfikacji wysyłane jest zapytanie o prawdziwość certyfikatu, w odpowiedzi na które instytucja ta wysyła podpisany certyfikat. Urząd certyfikacji w trakcie trwania procedury podpisywania sprawdza klienta, co daje gwarancję tego, że posiadacz certyfikatu jest tym, za kogo się podaje (zwykle jest to płatna usługa).
Taki certyfikat można także stworzyć bez konieczności zwracania się do urzędu. Niczym zasadniczo się one nie różnią, tylko noszą nazwę "certyfikatu z podpisem własnym" (self-signed). Jednak wygenerowanie ich jest możliwe tylko dla określonych typów serwerów.
System ten może być również stosowany w celu uwierzytelnienia klienta, aby zapewnić dostęp do danych znajdujących się na serwerze tylko dla autoryzowanych użytkowników. Administrator zazwyczaj tworzy certyfikat dla każdego użytkownika i instaluje go w przeglądarce każdego z nich. Przyjmowane będą również wszystkie certyfikaty popisane przez organizacje, które są zaufane przez serwer. Taki certyfikat zwykle zawiera nazwę i adres e-mail upoważnionego użytkownika, dane te są sprawdzane przy każdym połączeniu w celu weryfikacji tożsamości użytkownika bez potrzeby wprowadzania hasła.

W HTTPS do szyfrowania używany jest klucz długości 40, 56, 128 lub 256 bitów. Niektóre starsze wersje przeglądarek używają kluczy o długości 40 bitów (na przykład - IE , wersje starsze niż 4.0), co jest spowodowane eksportowymi ograniczeniami w Stanach Zjednoczonych. Klucze 40-bitowe nie są już jednak dostatecznie bezpieczne. Wiele stron internetowych wymaga obecnie stosowania nowych wersji przeglądarek obsługujących szyfrowanie klucza o długości 128 bitów, w celu zapewnienia odpowiedniego poziomu bezpieczeństwa. Takie szyfrowanie utrudnia atakującemu wyszukiwanie haseł i innych danych osobowych.

» Darmowy leksykon wiedzy - online