HTTPS

Fra Wikipedia, den frie encyklopedi
Gå til: navigasjon, søk
Protokoller på Internett
Applikasjonslaget HTTP, HTTPS, SMTP, FTP, SSH, IRC, SNMP ...
Transportlaget TCP, UDP, SCTP, DCCP, SPX ...
Nettverkslaget IPv4, IPv6, ARP, IPX ...
Datalink-laget Ethernet, 802.11 WiFi, Token ring, FDDI, ...

Hypertext Transfer Protocol Secure (HTTPS) er en sikker utgave av HTTP, som er kommunikasjonsprotokollen til World Wide Web. Det ble oppfunnet av Netscape Communications Corporation for å tilby autentisering og kryptering av kommunikasjon i forbindelse med elektronisk handel ved hjelp av digitale sertifikater.

En HTTPS-sesjon blir kryptert enten ved bruk av SSL-protokollen (Secure Socket Layer) eller TLS-protokollen (Transport Layer Security), og tilbyr beskyttelse mot «tyvlytting», og at noen endrer på de sendte dataene.

Graden av beskyttelse avhenger av hvor korrekt implementasjonen av HTTPS er i nettleseren, tjeneren og hvilken krypteringsalgoritme som er brukt.

Nettsider som benytter HTTPS, har en URL som begynner med «https://» i stedet for «http://».

Funksjonsmåte[rediger | rediger kilde]

Https er ingen egen protokoll, men en kombinasjon av vanlig HTTP over en kryptert SSL- (Secure Sockets Layer) eller TLS-kopling (Transport Layer Security). Dette skaper beskyttelse mot avlytting og mellomleddsangrep.

En https-URL kan spesifisere hvilken TCP/IP-port som skal brukes. Hvis ikke, brukes port 443 (usikret HTTP bruker typisk port 80).

Når en web-tjener skal settes opp for å akseptere https-forbindelser, må administratoren opprette et digitale sertifikat for web-tjeneren. På Unix-baserte tjenere kan et slikt sertifikat opprettes med verktøy som OpenSSL sin ssl-ca[1] eller SuSE sin gensslcert. Dette sertifikatet må så signeres av en sertifikatautoritet. Dette beviser at sertifikateieren virkelig er entiteten den oppgir å være, for eksempel en organisasjon eller en person. Nettlesere er generelt distribuert med signeringssertifikatene til kjente sertifikatautoriteter for å kunne verifisere at sertifikatene virkelig var signert av dem.

Organisasjoner kan også drive sin egen sertifikatautoritet, spesielt om de er ansvarlige for å sette opp nettlesere for å aksessere egne sider (for eksempel et internt intranet). Da kan de legge sine egne signeringssertifikater til dem som allerede fulgte med nettleseren.

Noen sider, spesielt de drevet av hobbybrukere, bruker selv-signerte sertifikater på offentlige nettsider. Ved å gjøre dette, sikrer de seg mot enkel avlytting, men dette kan ikke stoppe et mellomleddsangrep slikt et godtkjent sertifikat kan.

Systemet kan også brukes til pålitelighetskontroll for å begrense tilgang til en tjener til bare autoriserte brukere. For å iverksette dette oppretter nettstedets administrator vanligvis sertifikater for hver bruker. Sertifikatene lastes inn i brukerens nettleser. De inneholder normalt navnet og epostadressen til brukeren, og sjekkes automatisk av tjeneren ved hver nye oppkopling. Dette kan brukes i stedet for å måtte taste inn et passord.

Referanser[rediger | rediger kilde]

  1. ^ http://www.openssl.org/contrib/ OpenSSL: Contribution