Szyfrowany protokó HTTP



Informacje, które udało nam się zgromadzić na temat Szyfrowany protokó HTTP, zostały starannie sprawdzone i uporządkowane, aby były jak najbardziej przydatne. Prawdopodobnie trafiłeś tutaj, aby dowiedzieć się więcej na temat Szyfrowany protokó HTTP. W Internecie łatwo zgubić się w gąszczu stron, które mówią o Szyfrowany protokó HTTP, a jednocześnie nie podają tego, co chcemy wiedzieć o Szyfrowany protokó HTTP. Mamy nadzieję, że dasz nam znać w komentarzach, czy podoba Ci się to, co przeczytałeś o Szyfrowany protokó HTTP poniżej. Jeśli informacje o Szyfrowany protokó HTTP, które podajemy, nie są tym, czego szukałeś, daj nam znać, abyśmy mogli codziennie ulepszać tę stronę.

.

Szyfrowany protokó HTTP
Oprogramowanie
Informacja
Funkcjonowa Transmisja hipertekstowa
Akronim HTTPS
Data utworzenia 1994
Port 443
RFC 2000  : RFC  2818

Protokó HyperText Transfer Protocol Secure ( HTTPS , dosownie   bezpieczny transfer protokou hipertekstowego ) to poczenie protokou HTTP z warstw szyfrowania, tak jak SSL lub TLS .

HTTPS pozwala odwiedzajcym weryfikowa tosamo strony internetowej ma dostp poprzez wiadectwo o autentycznoci wydanego przez trzeci wadz, uwaane s za rzetelne (i zwykle cz biaej listy z przegldarek internetowych ). Teoretycznie gwarantuje poufno i integralno danych przesyanych przez uytkownika (w szczególnoci informacji wprowadzanych w formularzach ) oraz otrzymywanych z serwera . Moe by uywany do weryfikacji tosamoci odwiedzajcego, jeli ten ostatni uywa równie certyfikatu uwierzytelniania klienta .

Protokó HTTPS by pocztkowo uywany gównie do transakcji finansowych online: handlu elektronicznego , bankowoci internetowej , porednictwa internetowego itp. Suy równie do przegldania prywatnych danych, takich jak na przykad e-maile .

W 2016 roku kampania Electronic Frontier Foundation wspierana przez twórców przegldarek internetowych pomoga znacznie zwikszy popularno protokou. HTTPS jest obecnie czciej uywany przez uytkowników sieci ni oryginalny niezabezpieczony protokó HTTP, przede wszystkim w celu ochrony autentycznoci stron we wszystkich typach witryn, zabezpieczenia kont oraz zachowania komunikacji uytkownika, tosamoci i prywatnego przegldania sieci.

Od pocztku lat 2010 HTTPS rozpowszechni si równie w sieciach spoecznociowych .

Domylnie serwery HTTPS s podczone do portu TCP 443.

W , Google Chrome i Mozilla Firefox zaczy identyfikowa i zgasza witryny gromadzce poufne informacje bez uycia protokou HTTPS. Ta zmiana ma na celu znaczne zwikszenie wykorzystania protokou HTTPS. W, protokó bezpieczestwa HTTPS by uywany przez okoo 16,28% francuskiego Internetu.

Historyczny

Netscape stworzy HTTPS w 1994 roku dla swojego Netscape Navigatora . HTTPS by pocztkowo uywany z SSL, ten ostatni ewoluowa w TLS , HTTPS teraz uywa TLS. Jest to okrelone w RFC 2818 w.

Google ogosi w e jego przegldarka bdzie wywietla witryny HTTP jako niezabezpieczone od miesica . Przyspieszyo to przyjcie HTTPS przez strony internetowe w celu uniknicia utraty ruchu.

Zasada dziaania

Nieformalny opis  : Protokó jest identyczny ze zwykym protokoem internetowym HTTP , ale z dodatkowym skadnikiem zwanym TLS, który dziaa po prostu tak:

  • klient - na przykad przegldarka internetowa - kontaktuje si z serwerem - na przykad Wikipedi - i da bezpiecznego poczenia, prezentujc mu szereg metod szyfrowania poczenia ( zestawy szyfrowania );
  • serwer odpowiada, potwierdzajc, e moe komunikowa si w bezpieczny sposób i wybierajc metod szyfrowania z tej listy, a przede wszystkim wystawiajc certyfikat gwarantujcy, e jest to rzeczywicie serwer, o którym mowa, a nie zamaskowany serwer piracki (mowa o ludzki rodek).
    Te certyfikaty elektroniczne s wydawane przez zewntrzny urzd, któremu wszyscy ufaj, troch jak notariusz w yciu codziennym, a klientowi udao si w tym urzdzie zweryfikowa, czy certyfikat jest autentyczny (istniej inne warianty, ale to jest ogólna zasada).
    Certyfikat zawiera równie rodzaj kódki (tzw. klucz publiczny), który umoliwia pobranie wiadomoci i zmieszanie jej z t kódk tak, aby bya cakowicie tajna i moliwa do odszyfrowania tylko przez serwer, który t kódk wystawi (dziki tzw. -o nazwie klucz prywatny, którego wacicielem jest tylko serwer, mówimy o szyfrowaniu asymetrycznym );
  • pozwala to klientowi potajemnie wysa kod ( klucz symetryczny ), który bdzie mieszany we wszystkich wymianach midzy serwerem a klientem, tak aby caa tre komunikacji - w tym adres samej strony internetowej, adres URL - bya szyfrowana. Aby to zrobi, zawarto jest mieszana z kodem, co daje nieczyteln wiadomo, a po przybyciu, ponowne wykonanie tej samej operacji z tym komunikatem, zwraca zawarto w postaci przejrzystej, jak w lustrze.

W skrócie: serwer i klient rozpoznali si, wybrali sposób szyfrowania komunikacji i przekazali sobie kod (symetryczny klucz szyfrowania) w sposób zaszyfrowany.

HTTPS i hacking

Bezpieczestwo informacji przesyanych przez HTTPS opiera si na zastosowanie algorytmu do szyfrowania i uznanie wanoci certyfikatu uwierzytelniajcego witryny odwiedzi.

Zakadajc, e internauci rzadko okrelaj typ protokou w adresach URL (historycznie domylnie wybierany by protokó HTTP) i po prostu podaj za czami, badacz bezpieczestwa komputerowego znany pod pseudonimem Moxie Marlinspike opracowa atak typu ataku porednika ( man in in the middle w jzyku angielskim), aby omin szyfrowanie HTTPS. W hakerów pozycji si midzy tym klientem a serwerem i zmienia linki z https: do http: , wic klient wysya swoje informacje w jasny poprzez HTTP protokou i nie HTTPS. Ten rodzaj ataku zosta zaprezentowany przez Marlinspike na konferencji Blackhat 2009 . Podczas tej prelekcji Marlinspike przedstawi nie tylko sposób dziaania ataku, ale take kilka statystyk uytkowania. W cigu 24 godzin udao mu si odzyska kilkaset dowodów osobistych, danych osobowych i numerów kart bankowych , nikt nie podejrzewa trwajcego ataku.

Inny atak typu man in the middle zosta zrealizowany w lipcu 2011 roku , poprzez nieuczciwe uzyskanie wanych certyfikatów ze starego urzdu certyfikacji DigiNotar , który zosta zhakowany. Atak ten zosta wykorzystany do utworzenia faszywych witryn Google (oszukaczych certyfikatów dla domen * .google.com ), a tym samym do szpiegowania konsultowania kilku kont Gmail uytkowników iraskich .

W wrzeniu 2011 roku , Duong i Rizzo, dwóch badaczy bezpieczestwa komputerowego, przedstawiony na Konferencji Bezpieczestwa Ekoparty nowy rodzaj ataku, tym razem w oparciu o deszyfrowania z pakietów przesyanych przez sie. Atak ten wykorzystuje podatno z szyfrowania Cipher Block Chaining protokou TLS 1.0, dugo znana. Aby wykorzysta t luk, konieczne jest umieszczenie na odwiedzanej stronie kodu JavaScript przekazujcego warto pliku cookie sesji do sniffera pakietów sieciowych, aby uy go do odszyfrowania pozostaej komunikacji.

Ta luka dotyczy tylko witryn obsugujcych szyfrowanie TLS w wersji 1.0; jednak w dniu, dotyczy to zdecydowanej wikszoci witryn ze wzgldu na niech witryn i przegldarek do implementacji TLS w wersji 1.1 i 1.2.

HTTPS i NSA

W , kilka gazet ujawnia, dziki dokumentom dostarczonym przez Edwarda Snowdena , e NSA , poprzez swój program Bullrun , dy do zamania lub osabienia protokou HTTPS lub jego implementacji przez producentów sprztu i oprogramowania, czynic go dostpnym w sposób jasny dla wielu amerykaskich usug komunikacyjnych jeszcze zaszyfrowane.

Na pocztku 2014 r. luka wymierzona we wszystkie urzdzenia Apple z systemem iOS 6/7 i Mac OS X 10.9, umoliwiajca tym, którzy mieli moliwo jej wykorzystania, uszkodzia szyfrowanie HTTPS (a dokadniej technologie TLS / SSL ), zostaa naprawiona przez Przedsibiorstwo. Niektóre plotki sugeruj, e ta luka zostaa wykorzystana przez NSA , a nawet, e to organizacja rzdowa poprosia Apple o pomoc w stworzeniu tej luki (co firma zaprzecza).

HSTS

HTTP Strict Transport Security (HSTS) to proponowany mechanizm zasad bezpieczestwa , który umoliwia serwerowi internetowemu zadeklarowanie zgodnemu agentowi uytkownika (takiego jak przegldarka internetowa ), e powinien z nim wspópracowa za pomoc bezpiecznego poczenia (takiego jak HTTPS ). Polityka jest zatem przekazywana klientowi uytkownika przez serwer za porednictwem odpowiedzi HTTP w polu nagówka o nazwie   Strict-Transport-Security  . Zasady okrelaj okres czasu, w którym agent uytkownika musi uzyskiwa dostp do serwera tylko w bezpieczny sposób.

https

HTTPS, poniewa jest szyfrowany, nie pozwala serwerowi poredniemu na posiadanie pamici podrcznej, w której przechowywane s informacje. Dlatego przegldarka nie moe wywietli informacji bez bezporedniego dania ich z serwera.

Uwagi i referencje

  1.   Wprowadzenie do SSL   , w Google Livre ,(dostp 4 listopada 2014 )
  2. (w)HTTP, TLS  " danie uwagi n O  2818,.
  3. (w)   Szyfrowanie sieci   na Electronic Frontier Foundation ,(dostp na 1 st stycznia 2021 )
  4. (w)   HTTP, HTTPS, SSL, TLS ponad   ,(dostp 19 listopada 2019 )
  5. (en-US) kierunku bezpieczniejszego internetu   , Google Online Security Blo ,( przeczytaj online , skonsultowano 2 lutego 2017 r. )
  6. Statystyki we francuskim Internecie. udomo.fr   , na www.udomo.fr (dostp 2 lutego 2017 r. )
  7.   Bezpieczna sie nie zniknie   [ archiwum z] , na blogu Chromium (dostp 22 kwietnia 2019 )
  8. https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf .
  9. https://www.orange-business.com/fr/blogs/securite/webtech/https-pwned
  10. Dan Goodin,   Hakerzy ami szyfrowanie SSL uywane przez miliony witryn   , na theregister.co.uk ,(dostp na 1 st wrzenia 2020 ) .
  11.   szyfrowanie SSL przerwa Hakerzy uywany przez miliony stron   na journaldunet.com (dostp na 1 st wrzenia 2020 ) .
  12. Dan Goodin,   Hakerzy ami szyfrowanie SSL uywane przez miliony witryn   , na theregister.co.uk ,(dostp na 1 st wrzenia 2020 ) .
  13. Le Monde.fr,   Sprawa Snowdena: jak NSA udaremnia szyfrowanie komunikacji   , na Le Monde.fr ,(dostp 6 wrzenia 2013 r . ) .
  14.   Dlaczego wada goto fail w systemie operacyjnym Apple jest bardzo powana  , Journal du net ,( przeczytaj online )
  15. Olivier,   Goto fail: po iOS Apple w kocu zatyka luk SSL w OS X  , Journal du geek ,( przeczytaj online )
  16. (w) Charles Arthur,   Luka w zabezpieczeniach iPhone'a Apple'a: jak to si stao i co dalej  " , Opiekun ,( przeczytaj online )

Zobacz równie

Powizane artykuy

Linki zewntrzne

Mamy nadzieję, że informacje, które zgromadziliśmy na temat Szyfrowany protokó HTTP, były dla Ciebie przydatne. Jeśli tak, nie zapomnij polecić nas swoim przyjaciołom i rodzinie oraz pamiętaj, że zawsze możesz się z nami skontaktować, jeśli będziesz nas potrzebować. Jeśli mimo naszych starań uznasz, że informacje podane na temat _title nie są całkowicie poprawne lub że powinniśmy coś dodać lub poprawić, będziemy wdzięczni za poinformowanie nas o tym. Dostarczanie najlepszych i najbardziej wyczerpujących informacji na temat Szyfrowany protokó HTTP i każdego innego tematu jest istotą tej strony internetowej; kierujemy się tym samym duchem, który inspirował twórców Encyclopedia Project, i z tego powodu mamy nadzieję, że to, co znalazłeś o Szyfrowany protokó HTTP na tej stronie pomogło Ci poszerzyć swoją wiedzę.

Opiniones de nuestros usuarios

Gregory Biernacki

Dzięki za ten post na Szyfrowany protokó HTTP, właśnie tego potrzebowałem

Adam Czajkowski

Uważam, że ten wpis o zmiennej Szyfrowany protokó HTTP jest sformułowany bardzo ciekawie, przypomina mi lata szkolne. Jakie piękne czasy, dzięki za sprowadzenie mnie do nich.

Janusz Konieczna

Język wygląda na stary, ale informacje są wiarygodne i ogólnie wszystko, co napisano o Szyfrowany protokó HTTP, daje dużo pewności.