Sicheres HyperText-Übertragungsprotokoll

Sicheres HyperText-Übertragungsprotokoll Information

Funktion	Hypertext- Übertragung
Akronym	HTTPS
Erstellungsdatum	1994
Hafen	443
RFC	2000  : RFC  2818

Der Hypertext Transfer Protocol Secure ( HTTPS , wörtlich „  Protokoll Transfer Hypertext - secure“) ist die Kombination von HTTP mit einer Schicht von Verschlüsselung wie SSL oder TLS .

HTTPS ermöglicht es den Besuchern , die Identität des überprüfen Website es durch ein greift Zertifikat von Authentifizierung von einer dritten Stelle ausgestellt, gelten als zuverlässig (und in der Regel ein Teil der weißen Liste von Web - Browsern ). Theoretisch garantiert es die Vertraulichkeit und Integrität der vom Benutzer gesendeten Daten (insbesondere in Formularen eingegebene Informationen ) und vom Server empfangen . Es kann verwendet werden, um die Identität des Besuchers zu überprüfen, wenn dieser auch ein Client- Authentifizierungszertifikat verwendet .

HTTPS wurde zunächst hauptsächlich für Online-Finanztransaktionen verwendet: E-Commerce , Online-Banking , Online- Brokerage usw. Es dient auch der Abfrage privater Daten, wie beispielsweise E-Mails .

Im Jahr 2016 trug eine Kampagne der Electronic Frontier Foundation mit Unterstützung von Webbrowser-Entwicklern dazu bei, das Protokoll viel bekannter zu machen. HTTPS wird heute häufiger von Webbenutzern verwendet als das ursprüngliche ungesicherte HTTP, hauptsächlich um die Authentizität von Seiten auf allen Arten von Websites und Konten zu schützen und um die Benutzerkommunikation, die Identität und das private Surfen im Internet zu schützen.

Seit Anfang der 2010er Jahre hat sich HTTPS auch in sozialen Netzwerken durchgesetzt .

Standardmäßig sind HTTPS-Server mit TCP- Port 443 verbunden.

Im Januar 2017, Google Chrome und Mozilla Firefox haben damit begonnen, Websites zu identifizieren und zu melden, die vertrauliche Informationen sammeln, ohne das HTTPS-Protokoll zu verwenden. Durch diese Änderung soll die Nutzung von HTTPS deutlich gesteigert werden. ImFebruar 2017, wurde das HTTPS-Sicherheitsprotokoll von ungefähr 16,28 % des französischen Internets verwendet.

Historisch

Netscape hat HTTPS 1994 für seinen Netscape Navigator entwickelt . HTTPS wurde ursprünglich mit SSL verwendet, wobei sich letzteres zu TLS entwickelt hat , HTTPS verwendet jetzt TLS. Dies ist in RFC 2818 in . spezifiziertMai 2000.

Google angekündigt in Februar 2018 dass sein Browser HTTP-Sites ab dem Monat . als "unsicher" anzeigen würde Juli 2018. Dies führte zur Einführung von HTTPS durch Websites, um Traffic-Verluste zu vermeiden.

Funktionsprinzip

Informelle Beschreibung  : Das Protokoll ist identisch mit dem üblichen HTTP -Webprotokoll , jedoch mit einer zusätzlichen Zutat namens TLS, die ganz einfach so funktioniert:

• der Client – ​​zum Beispiel der Webbrowser – kontaktiert einen Server – zum Beispiel Wikipedia – und fordert eine sichere Verbindung an, indem er diese mit einer Reihe von Verbindungsverschlüsselungsmethoden (Cipher Suites ) präsentiert;
• der Server antwortet, indem er bestätigt, dass er auf sichere Weise kommunizieren kann, indem er eine Verschlüsselungsmethode aus dieser Liste wählt und vor allem ein Zertifikat vorlegt, das garantiert, dass es sich tatsächlich um den betreffenden Server und nicht um einen getarnten Piratenserver handelt menschliche Mitte).
  Diese elektronischen Zertifikate werden von einer Drittstelle ausgestellt, der jeder vertraut, ein bisschen wie ein Notar im Alltag, und der Kunde hat bei dieser Stelle die Echtheit des Zertifikats überprüfen können (es gibt andere Varianten, aber das ist das allgemeine Prinzip).
  Das Zertifikat enthält auch eine Art Vorhängeschloss (einen sogenannten öffentlichen Schlüssel), das es ermöglicht, eine Nachricht zu nehmen und mit diesem Vorhängeschloss zu mischen, um sie vollständig geheim zu machen und nur von dem Server, der dieses Vorhängeschloss ausgestellt hat, entschlüsselbar zu machen (dank einer sog -genannt key private, die nur der Server besitzt, sprechen wir von asymmetrischer Verschlüsselung );
• Dies ermöglicht dem Client, heimlich einen Code (einen symmetrischen Schlüssel ) zu senden, der bei allen Austauschvorgängen zwischen dem Server und dem Client gemischt wird, sodass der gesamte Inhalt der Kommunikation - einschließlich der Adresse der Website selbst, der URL  - verschlüsselt wird. Dazu wird der Inhalt mit dem Code gemischt, was eine nicht entzifferbare Nachricht ergibt, und beim erneuten Ausführen der gleichen Operation mit dieser Nachricht wird der Inhalt wie in einem Spiegel in klarer Form zurückgegeben.

Kurzum: Server und Client haben sich erkannt, haben einen Weg zur Verschlüsselung der Kommunikation gewählt und sich gegenseitig einen Code (symmetrischer Chiffrierschlüssel) verschlüsselt übergeben.

HTTPS und Hacking

Die Sicherheit von Informationen , die von HTTPS übertragen wird auf der Verwendung eines basierten Algorithmus der Verschlüsselung , und die Anerkennung der Gültigkeit des Authentifizierungszertifikats der Website besucht.

Unter der Annahme, dass Internetnutzer selten die Art des Protokolls in URLs angeben (HTTP wurde in der Vergangenheit standardmäßig ausgewählt) und einfach Links folgen, hat ein Computersicherheitsforscher, bekannt unter dem Pseudonym Moxie Marlinspike , einen Angriffstyp des Mittelmanns ( "man in the middle" auf Englisch), um die Verschlüsselung von HTTPS zu umgehen. Der Hacker positioniert sich zwischen Client und Server und ändert die Links von https: auf http : , sodass der Client seine Informationen unverschlüsselt über das HTTP- Protokoll und nicht über HTTPS sendet . Diese Art von Angriff wurde von Marlinspike auf der Blackhat Conference 2009 präsentiert . In diesem Vortrag stellte Marlinspike nicht nur die Funktionsweise des Angriffs vor, sondern auch einige Nutzungsstatistiken. Es gelang ihm, innerhalb von 24 Stunden mehrere Hundert Ausweise , persönliche Informationen und Bankkartennummern zu finden , ohne dass jemand den laufenden Angriff vermutete.

Ein weiterer Man-in-the-Middle-Angriff wurde im Juli 2011 durchgeführt , indem er sich in betrügerischer Weise gültige Zertifikate der alten Zertifizierungsstelle DigiNotar beschaffte , die gehackt worden waren. Dieser Angriff diente dazu, gefälschte Google- Sites (betrügerisches Zertifikat für *.google.com- Domains ) einzurichten und so die Abfrage mehrerer GMail- Konten iranischer Nutzer auszuspionieren .

Im September 2011 präsentierten Duong und Rizzo, zwei Computersicherheitsforscher, auf der Ekoparty-Sicherheitskonferenz eine neue Art von Angriff, diesmal basierend auf der Entschlüsselung von über das Netzwerk übertragenen Paketen . Dieser Angriff nutzt eine Schwachstelle von Verschlüsselung Cipher Block Chaining Protokoll TLS 1.0, lange bekannt. Um diese Sicherheitsanfälligkeit auszunutzen, ist es notwendig , einzufügen in der Seite einen konsultierte Javascript - Code den Wertes der Kommunikation des Session - Cookie zu einem Netzwerk - Paket - Sniffer , um es zu benutzen , um den Rest der Kommunikation zu entschlüsseln.

Von dieser Sicherheitsanfälligkeit sind nur Websites betroffen, die die TLS-Verschlüsselung Version 1.0 unterstützen. jedoch am datum vonSeptember 2011, betrifft dies die überwiegende Mehrheit der Websites, da Websites und Browser nicht bereit sind, die TLS-Versionen 1.1 und 1.2 zu implementieren.

HTTPS und NSA

Im September 2013, enthüllen mehrere Zeitungen dank der von Edward Snowden bereitgestellten Dokumente , dass die NSA durch ihr Bullrun- Programm versucht, das HTTPS-Protokoll oder seine Implementierungen durch Hardware- und Softwarehersteller zu brechen oder zu schwächen, um es den amerikanischen Diensten in vielen Kommunikationen offen zu machen noch verschlüsselt.

Anfang 2014 wurde eine Sicherheitslücke behoben, die auf alle Apple- Geräte mit iOS 6/7 und Mac OS X 10.9 abzielte und es denen, die die Mittel hatten, sie auszunutzen, ermöglichte, die HTTPS-Verschlüsselung (oder insbesondere die TLS / SSL- Technologien ) zu korrumpieren die Firma. Einige Gerüchte deuten darauf hin, dass diese Schwachstelle von der NSA ausgenutzt wurde oder dass es sogar die Regierungsorganisation war, die Apple um Hilfe gebeten hat, um diese Schwachstelle zu erstellen (was das Unternehmen bestreitet).

HSTS

HTTP Strict Transport Security (HSTS) ist ein vorgeschlagener Sicherheitsrichtlinienmechanismus , mit dem ein Webserver einem kompatiblen Benutzeragenten (z. B. einem Webbrowser ) erklären kann, dass er über eine sichere Verbindung (z. B. HTTPS) mit ihm interagieren soll. Die Richtlinie wird daher vom Server über die HTTP-Antwort im Header-Feld mit dem Namen „ Strict-Transport-Security  “ an den User-Agent übermittelt  . Die Richtlinie gibt einen Zeitraum an, in dem der Benutzeragent nur auf sichere Weise auf den Server zugreifen darf.

https

HTTPS erlaubt es einem Zwischenserver nicht, über einen Cache-Speicher zu verfügen, der Informationen speichert, da es verschlüsselt ist. Daher kann der Browser die Informationen nicht anzeigen, ohne sie direkt vom Server anzufordern.

Hinweise und Referenzen

1. "  Einführung in SSL  " , auf Google Livre ,18. Oktober 2005(Zugriff am 4. November 2014 )
2. (in) "  HTTP Over TLS  " Anfrage für Kommentare n o  2818,Mai 2000.
3. (in) "  Encrypting the Web  " auf der Electronic Frontier Foundation ,2016(Zugriff auf 1 st Januar 2021 )
4. (in) "  HTTP, HTTPS, SSL, TLS Over  " ,November 2019(Zugriff am 19. November 2019 )
5. (de) „Auf dem  Weg zu einem sichereren Web  “ , Google Online Security Blo ,8. September 2016( online lesen , eingesehen am 2. Februar 2017 )
6. "  Statistiken im französischen Internet. udomo.fr  “ , auf www.udomo.fr (Zugriff am 2. Februar 2017 )
7. "  Ein sicheres Web ist hier, um zu bleiben  " [ Archiv von24. April 2019] , im Chromium-Blog (Zugriff am 22. April 2019 )
8. https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf .
9. https://www.orange-business.com/fr/blogs/securite/webtech/https-pwned
10. Dan Goodin, „  Hacker knacken die SSL-Verschlüsselung, die von Millionen von Websites verwendet wird  “ , auf theregister.co.uk ,19. September 2011(Zugriff auf 1 st September 2020 ) .
11. „  Hacker bricht SSL - Verschlüsselung von Millionen von Websites verwendet  “ auf journaldunet.com (Zugriff auf 1 st September 2020 ) .
12. Dan Goodin, „  Hacker knacken die SSL-Verschlüsselung, die von Millionen von Websites verwendet wird  “ , auf theregister.co.uk ,19. September 2011(Zugriff auf 1 st September 2020 ) .
13. Le Monde.fr, "  Snowden-Affäre: Wie die NSA die Verschlüsselung der Kommunikation vereitelt  " , auf Le Monde.fr ,5. September 2013(Zugriff am 6. September 2013 ) .
14. "  Warum der 'Goto-Fail'-Fehler in Apples Betriebssystem sehr gravierend ist  ", Journal du net ,24. Februar 2014( online lesen )
15. Olivier, "  Goto fail: Nach iOS schließt Apple endlich den SSL-Fehler auf OS X  ", Journal du Geek .26. Februar 2014( online lesen )
16. (in) Charles Arthur, "  Apples iPhone SSL-Sicherheitslücke: Wie ist es dazu gekommen und wie geht es weiter?  " , Der Wächter ,25. Februar 2014( online lesen )

Siehe auch

Zum Thema passende Artikel

• HTTP
• SSL
• SSH
• HSTS
• Kryptografische Suite

Externe Links

• Hinweis in einem Wörterbuch oder einer allgemeinen Enzyklopädie  :
  • Shop norske leksikon