Beveiligd hypertext-overdrachtsprotocol
| beveiligd hypertext-overdrachtsprotocol | ||||||||
|---|---|---|---|---|---|---|---|---|
| Familie | internet protocol familie | |||||||
| Functie | veilige hypertext- overdracht | |||||||
| poorten | 443/TCP | |||||||
| Locatie in de protocolstack | ||||||||
| ||||||||
| normen | ||||||||
| RFC 2818 – HTTP via TLS | ||||||||
Het Secure Hypertext Transfer Protocol (in het Engels, Hypertext Transfer Protocol Secure of HTTPS ) is een toepassingsprotocol op basis van het HTTP -protocol , bedoeld voor de veilige overdracht van hypertextgegevens , dat wil zeggen, het is de beveiligde versie van HTTP.
Technische kenmerken
Het HTTPS-systeem gebruikt een codering op basis van SSL / TLS -tekstbeveiliging om een gecodeerd kanaal te creëren (waarvan het coderingsniveau afhangt van de externe server en de browser die door de client wordt gebruikt) dat meer geschikt is voor het verkeer van gevoelige informatie dan het HTTP-protocol. Op deze manier kan gevoelige informatie (normaal gesproken gebruikersnaam en wachtwoorden) niet worden gebruikt door een aanvaller die erin is geslaagd de verbindingsgegevensoverdracht te onderscheppen, aangezien het enige dat hij zal verkrijgen een versleutelde gegevensstroom is die onmogelijk te ontcijferen is.
De standaardpoort voor dit protocol is 443. (Ook vaak gebruikt is 4433)
Geschiedenis
Netscape Communications creëerde HTTPS in 1994 voor zijn Netscape Navigator- browser . [ 1 ] Oorspronkelijk werd HTTPS alleen gebruikt met SSL- codering , maar dit werd achterhaald door TLS . HTTPS werd als webstandaard aangenomen met de publicatie van RFC 2818 in mei 2000. [ 2 ]
Verschillen
In het HTTP-protocol beginnen URL's met "http://" en gebruiken standaard poort 80 , HTTPS-URL's beginnen met "https://" en gebruiken standaard poort 443 .
HTTP is onveilig en onderhevig aan man-in-the-middle- en afluisteraanvallen waarmee een aanvaller toegang kan krijgen tot bank- en websiteaccounts en gevoelige informatie. HTTPS is ontworpen om deze aanvallen te weerstaan en veiliger te zijn.
Netwerklagen
HTTP werkt op de hoogste laag van het OSI-model , de applicatielaag; maar het beveiligingsprotocol werkt op een lagere sublaag, versleutelt een HTTP-bericht voorafgaand aan verzending en ontsleutelt een bericht bij ontvangst. Strikt genomen is HTTPS geen apart protocol, maar verwijst het naar het gebruik van gewone HTTP over een versleutelde Secure Sockets Layer (SSL) of Transport Layer Security (TLS)-verbinding.
Serverconfiguratie
Om een webserver voor te bereiden om HTTPS-verbindingen te accepteren, moet de beheerder een certificaat met een openbare sleutel voor de webserver maken. Dit certificaat moet zijn ondertekend door een certificeringsinstantie zodat de webbrowser het kan accepteren. De autoriteit verklaart dat de certificaathouder is wie hij beweert te zijn. Webbrowsers worden meestal geleverd met rootcertificaten die door de meeste certificeringsinstanties zijn ondertekend, zodat ze de door hen ondertekende certificaten kunnen verifiëren.
Acquisitie van certificaten
Aankoopcertificaten kunnen gratis [ 3 ] [ 4 ] zijn of tussen $ 13 [ 5 ] en $ 1.500 [ 6 ] per jaar kosten.
Organisaties kunnen ook hun eigen certificeringsinstantie zijn, vooral als ze verantwoordelijk zijn voor het tot stand brengen van browsertoegang tot hun eigen sites (bijvoorbeeld bedrijfsintranetsites of grote universiteiten). Ze kunnen eenvoudig kopieën van hun eigen ondertekende certificaat toevoegen aan de vertrouwde certificaten die met de browser worden gedistribueerd.
Er zijn ook peer-to-peer certificeringsinstanties .
Gebruik een toegangscontrole
Het systeem kan ook worden gebruikt voor client-authenticatie om de toegang tot een webserver te beperken tot geautoriseerde gebruikers. Om dit te doen, maakt de sitebeheerder doorgaans een certificaat aan voor elke gebruiker, een certificaat dat in uw browser wordt opgeslagen. Dit bevat meestal de naam en het e-mailadres van de geautoriseerde gebruiker en wordt automatisch gecontroleerd bij elke herverbinding om de identiteit van de gebruiker te verifiëren, mogelijk zonder dat er elke keer een wachtwoord moet worden ingevoerd.
In het geval van gecompromitteerde privésleutels
Een certificaat kan worden ingetrokken als het al is verlopen, bijvoorbeeld wanneer het geheim van de privésleutel is gecompromitteerd. Nieuwere browsers zoals Firefox , [ 7 ] Opera , [ 8 ] en Internet Explorer op Windows Vista [ 9 ] implementeren het Online Certificate Status Protocol (OCSP) om te verifiëren dat dit niet het geval is. De browser stuurt het serienummer van het certificaat naar de certificeringsautoriteit, of het wordt gedelegeerd via OCSP en de autoriteit reageert en vertelt de browser of het certificaat al dan niet geldig moet worden beschouwd. [ 10 ]
adoptie
Vanaf februari 2017 was HTTPS-adoptie:
- Argentinië: 9,77% van het totaal aantal domeinen. [ 11 ]
- Spanje: 5,11% van het totaal aantal domeinen. [ 12 ]
- Mexico: 13,31% van het totaal aantal domeinen. [ 13 ]
- Chili: 18,71% van alle domeinen. [ 14 ]
- Colombia: 4,85% van het totaal aantal domeinen. [ 15 ]
Google probeert het gebruik van https aan te moedigen om de beveiliging van informatieoverdracht op internet te verbeteren. Momenteel markeren ze vanuit hun Chrome-browser de URL's onder http als "niet beveiligd" en volgens de mededelingen van het bedrijf zullen ze in de toekomst alle websites die niet onder https zijn gemarkeerd als "niet veilig" markeren. Dit verhoogt de implementatiesnelheid van SSL-certificaten en steeds meer websites staan onder https.
Beperkingen
Het beschermingsniveau hangt af van de juistheid van de momenteel ondersteunde webbrowserimplementatie , serversoftware en versleutelingsalgoritmen . Zie de lijst in Hoofdidee .
HTTPS is ook kwetsbaar wanneer het wordt toegepast op statische post-beschikbare inhoud. De hele site kan worden geïndexeerd met behulp van een webspider en de URI van de versleutelde bron kan worden geraden door alleen de grootte van het verzoek/antwoord te kennen. [ 16 ] Hierdoor kan een aanvaller toegang krijgen tot zowel de leesbare tekst (statische inhoud van de post) als de cijfertekst (de versleutelde versie van de statische inhoud), waardoor een cryptografische aanval mogelijk is .
Omdat SSL onder HTTP werkt en geen kennis heeft van protocollen op een hoger niveau, kunnen SSL-servers alleen strikt een certificaat presenteren voor een bepaalde poort/IP - combinatie ]17[ virtuele naamgebaseerde hosting te gebruiken met HTTPS. Er is een oplossing genaamd Server Name Indication (SNI) die de hostnaam naar de server stuurt voordat de verbinding wordt versleuteld, maar veel oudere browsers ondersteunen deze extensie niet. Ondersteuning voor SNI is beschikbaar in Firefox 2, Opera 8 en Internet Explorer 7 op Windows Vista . [ 18 ] [ 19 ] [ 20 ]
Zie ook
Referenties
- ^ Muren, Colin (2005). Geïntegreerde software . p. 344.
- ↑ Rescorla, E (mei 2000). "HTTP over TLS" . Internet Engineering Taskforce . Ontvangen op 6 mei 2009 .
- ^ "StartSSL gratis certificaten" . Begin SSL . Ontvangen op 20 mei 2009 .
- ^ "Let's Encrypt - Gratis SSL/TLS-certificaten" . Ontvangen 16 oktober 2017 .
- ↑ "SSL-certificeringsdiensten" . Ga papa . Ontvangen op 6 mei 2009 .
- ^ "Beveiligde Site Pro met EV" . VeriSign . Ontvangen op 6 mei 2009 .
- ↑ "Mozilla FireFox-privacybeleid" . Stichting Mozilla . 27 april 2009. Gearchiveerd van het origineel op 26 mei 2009 . Ontvangen op 13 mei 2009 .
- ↑ Opera 8 uitgebracht op FTP . Softpedia . 19-04-2005 . Ontvangen op 13 mei 2009 .
- ^ Lawrence, Eric (31 januari 2006). "HTTPS-beveiligingsverbeteringen in Internet Explorer 7" . MSDN . Ontvangen op 13 mei 2009 .
- ↑ Myers, M; Ankney, R; Malpani, A; Galperine, S; Adams, C (juni 1999). "Online certificaatstatusprotocol - OCSP" . Internet Engineering Taskforce . Ontvangen op 13 mei 2009 .
- ^ "Gearchiveerde kopie" . Gearchiveerd van het origineel op 13 februari 2017 . Ontvangen 12 februari 2017 .
- ↑ https://www.glasdom.es Gearchiveerd op 19 januari 2018, bij de Wayback Machine . /internet-statistieken-spaans
- ^ "Gearchiveerde kopie" . Gearchiveerd van het origineel op 13 februari 2017 . Ontvangen 20 februari 2017 .
- ^ "Gearchiveerde kopie" . Gearchiveerd van het origineel op 13 februari 2017 . Ontvangen 12 februari 2017 .
- ^ "Gearchiveerde kopie" . Gearchiveerd van het origineel op 13 februari 2017 . Ontvangen 20 februari 2017 .
- ^ Morales, Manuel (22 juli 1938). "The Pirate Bay niet-SSL" . Gearchiveerd van het origineel op 8 maart 2009 . Ontvangen 11 november 2013 .
- ↑ Veelgestelde vragen over Apache: Waarom kan ik SSL niet gebruiken met op naam gebaseerde/niet-IP-gebaseerde virtuele hosts?
- ^ MORALES, Manuel (22 juli 1938). "Aanstaande HTTPS-verbeteringen in Internet Explorer 7 Beta 2" . Microsoft . Ontvangen 24 november 2013 .
- ↑ Indicatie servernaam (SNI)
- Mozilla 1.8
Externe links
- RFC 2818: HTTP via TLS
- SSL 3.0-specificaties (IETF)
- Documentatie voor Apache mod_ssl
- HTTPS-protocol in ontwikkeling van Internet Explorer - MSDN
- Handmatig Windows Communication Foundation (WCF) configureren wanneer HTTP en HTTPS moeten worden gebruikt - MSDN
- HTTPS-beveiligingsupdates in Internet Explorer 7 en hun impact op compatibiliteit - MSDN
- Officiële communicatie van Google die websites als onveilig markeert
- Online HTTP/3-tester