HTTPS

Fra Wikipedia, den frie encyklopedi
Gå til: navigasjon, søk
Protokoller på Internett
Applikasjonslaget HTTP, HTTPS, SMTP, FTP, SSH, IRC, SNMP ...
Transportlaget TCP, UDP, SCTP, DCCP, SPX ...
Nettverkslaget IPv4, IPv6, ARP, IPX ...
Datalink-laget Ethernet, 802.11 WiFi, Token ring, FDDI, ...

Hypertext Transfer Protocol Secure (HTTPS) er en sikker utgave av HTTP, som er kommunikasjonsprotokollen til World Wide Web. Det ble oppfunnet av Netscape Communications Corporation for å tilby autentisering og kryptering av kommunikasjon i forbindelse med elektronisk handel ved hjelp av digitale sertifikater.

En HTTPS-sesjon blir kryptert enten ved bruk av SSL-protokollen (Secure Socket Layer) eller TLS-protokollen (Transport Layer Security), og tilbyr på denne måten er fornuftig beskyttelse mot «tyvlytting», og at noen endrer på de sendte dataene.

Graden av beskyttelse avhenger av hvor korrekt implementasjonen av HTTPS er i nettleseren, tjeneren og den faktiske krypteringsalgoritmen som er brukt.

Nettsider som benytter HTTPS har en URL som begynner med «https://» i stedet for «http://».

Hvordan det virker[rediger | rediger kilde]

Egentlig så er ikke https en egen protokoll, men kombinasjonen av vanlig HTTP over en kryptert SSL- (Secure Sockets Layer) eller TLS-kopling (Transport Layer Security). Dette skaper en brukbar beskyttelse mot avlytting og mellomleddsangrep.

En https-URL kan spesifisere hvilken TCP/IP-port som skal brukes. Hvis ikke brukes port 443 (usikret HTTP bruker typisk port 80).

Når en web-tjener skal settes opp for å akseptere https-forbindelser må administratoren skape et digitale sertifikat for web-tjeneren. Disse sertifikatene kan skapes for Unix-baserte tjenere med verktøy som OpenSSL sin ssl-ca[1] eller SuSE sin gensslcert. Dette sertifikatet må så signeres av en eller annen sertifikatautoritet. Dette beviser at sertifikateieren virkelig er entiteten den oppgir å være, for eksempel en organisasjon eller en person. Nettlesere er generelt distribuert med signeringssertifikatene til kjente sertifikatautoriteter for å kunne verifisere at sertifikatene virkelig var signert av dem.

Organisasjoner kan også drive deres egen sertifikatautoritet. Spesielt om de er ansvarlige for å sette opp nettlesere for å aksessere deres egne sider (for eksempel et internt intranet). Da kan de enkelt legge til sine egne signeringssertifikater med dem som fulgte med nettleseren.

Noen sider, spesielt de drevet av hobbybrukere, bruker selv-signerte sertifikater på offentlige nettsider. Ved å gjøre dette sikrer de seg mot enkel avlytting, men dette kan ikke stoppe et mellomleddsangrep slikt et godtkjent sertifikat kan.

Systemet kan også brukes til klient pålitelighetskontroll for å begrense tilgang til en Web-tjener bare til autoriserte brukere. For å virkeliggjøre dette lager typisk nettstedets administrator sertifikater for hver bruker. Serfikatene lastes inn i brukerens nettleser. Disse inneholder normalt navnet og epostadressen til brukeren, og sjekkes automatisk av tjeneren ved hver nye oppkopling. Dette kan brukes i stedet for å måtte taste inn et passord.

Referanser[rediger | rediger kilde]

  1. ^ http://www.openssl.org/contrib/ OpenSSL: Contribution