Sicheres HyperText-Übertragungsprotokoll
Funktion | Hypertext- Übertragung |
---|---|
Akronym | HTTPS |
Erstellungsdatum | 1994 |
Hafen | 443 |
RFC | 2000 : RFC 2818 |
Der Hypertext Transfer Protocol Secure ( HTTPS , wörtlich „ Protokoll Transfer Hypertext - secure“) ist die Kombination von HTTP mit einer Schicht von Verschlüsselung wie SSL oder TLS .
HTTPS ermöglicht es den Besuchern , die Identität des überprüfen Website es durch ein greift Zertifikat von Authentifizierung von einer dritten Stelle ausgestellt, gelten als zuverlässig (und in der Regel ein Teil der weißen Liste von Web - Browsern ). Theoretisch garantiert es die Vertraulichkeit und Integrität der vom Benutzer gesendeten Daten (insbesondere in Formularen eingegebene Informationen ) und vom Server empfangen . Es kann verwendet werden, um die Identität des Besuchers zu überprüfen, wenn dieser auch ein Client- Authentifizierungszertifikat verwendet .
HTTPS wurde zunächst hauptsächlich für Online-Finanztransaktionen verwendet: E-Commerce , Online-Banking , Online- Brokerage usw. Es dient auch der Abfrage privater Daten, wie beispielsweise E-Mails .
Im Jahr 2016 trug eine Kampagne der Electronic Frontier Foundation mit Unterstützung von Webbrowser-Entwicklern dazu bei, das Protokoll viel bekannter zu machen. HTTPS wird heute häufiger von Webbenutzern verwendet als das ursprüngliche ungesicherte HTTP, hauptsächlich um die Authentizität von Seiten auf allen Arten von Websites und Konten zu schützen und um die Benutzerkommunikation, die Identität und das private Surfen im Internet zu schützen.
Seit Anfang der 2010er Jahre hat sich HTTPS auch in sozialen Netzwerken durchgesetzt .
Standardmäßig sind HTTPS-Server mit TCP- Port 443 verbunden.
Im Januar 2017, Google Chrome und Mozilla Firefox haben damit begonnen, Websites zu identifizieren und zu melden, die vertrauliche Informationen sammeln, ohne das HTTPS-Protokoll zu verwenden. Durch diese Änderung soll die Nutzung von HTTPS deutlich gesteigert werden. ImFebruar 2017, wurde das HTTPS-Sicherheitsprotokoll von ungefähr 16,28 % des französischen Internets verwendet.
Netscape hat HTTPS 1994 für seinen Netscape Navigator entwickelt . HTTPS wurde ursprünglich mit SSL verwendet, wobei sich letzteres zu TLS entwickelt hat , HTTPS verwendet jetzt TLS. Dies ist in RFC 2818 in . spezifiziertMai 2000.
Google angekündigt in Februar 2018 dass sein Browser HTTP-Sites ab dem Monat . als "unsicher" anzeigen würde Juli 2018. Dies führte zur Einführung von HTTPS durch Websites, um Traffic-Verluste zu vermeiden.
Informelle Beschreibung : Das Protokoll ist identisch mit dem üblichen HTTP -Webprotokoll , jedoch mit einer zusätzlichen Zutat namens TLS, die ganz einfach so funktioniert:
Kurzum: Server und Client haben sich erkannt, haben einen Weg zur Verschlüsselung der Kommunikation gewählt und sich gegenseitig einen Code (symmetrischer Chiffrierschlüssel) verschlüsselt übergeben.
Die Sicherheit von Informationen , die von HTTPS übertragen wird auf der Verwendung eines basierten Algorithmus der Verschlüsselung , und die Anerkennung der Gültigkeit des Authentifizierungszertifikats der Website besucht.
Unter der Annahme, dass Internetnutzer selten die Art des Protokolls in URLs angeben (HTTP wurde in der Vergangenheit standardmäßig ausgewählt) und einfach Links folgen, hat ein Computersicherheitsforscher, bekannt unter dem Pseudonym Moxie Marlinspike , einen Angriffstyp des Mittelmanns ( "man in the middle" auf Englisch), um die Verschlüsselung von HTTPS zu umgehen. Der Hacker positioniert sich zwischen Client und Server und ändert die Links von https: auf http : , sodass der Client seine Informationen unverschlüsselt über das HTTP- Protokoll und nicht über HTTPS sendet . Diese Art von Angriff wurde von Marlinspike auf der Blackhat Conference 2009 präsentiert . In diesem Vortrag stellte Marlinspike nicht nur die Funktionsweise des Angriffs vor, sondern auch einige Nutzungsstatistiken. Es gelang ihm, innerhalb von 24 Stunden mehrere Hundert Ausweise , persönliche Informationen und Bankkartennummern zu finden , ohne dass jemand den laufenden Angriff vermutete.
Ein weiterer Man-in-the-Middle-Angriff wurde im Juli 2011 durchgeführt , indem er sich in betrügerischer Weise gültige Zertifikate der alten Zertifizierungsstelle DigiNotar beschaffte , die gehackt worden waren. Dieser Angriff diente dazu, gefälschte Google- Sites (betrügerisches Zertifikat für *.google.com- Domains ) einzurichten und so die Abfrage mehrerer GMail- Konten iranischer Nutzer auszuspionieren .
Im September 2011 präsentierten Duong und Rizzo, zwei Computersicherheitsforscher, auf der Ekoparty-Sicherheitskonferenz eine neue Art von Angriff, diesmal basierend auf der Entschlüsselung von über das Netzwerk übertragenen Paketen . Dieser Angriff nutzt eine Schwachstelle von Verschlüsselung Cipher Block Chaining Protokoll TLS 1.0, lange bekannt. Um diese Sicherheitsanfälligkeit auszunutzen, ist es notwendig , einzufügen in der Seite einen konsultierte Javascript - Code den Wertes der Kommunikation des Session - Cookie zu einem Netzwerk - Paket - Sniffer , um es zu benutzen , um den Rest der Kommunikation zu entschlüsseln.
Von dieser Sicherheitsanfälligkeit sind nur Websites betroffen, die die TLS-Verschlüsselung Version 1.0 unterstützen. jedoch am datum vonSeptember 2011, betrifft dies die überwiegende Mehrheit der Websites, da Websites und Browser nicht bereit sind, die TLS-Versionen 1.1 und 1.2 zu implementieren.
Im September 2013, enthüllen mehrere Zeitungen dank der von Edward Snowden bereitgestellten Dokumente , dass die NSA durch ihr Bullrun- Programm versucht, das HTTPS-Protokoll oder seine Implementierungen durch Hardware- und Softwarehersteller zu brechen oder zu schwächen, um es den amerikanischen Diensten in vielen Kommunikationen offen zu machen noch verschlüsselt.
Anfang 2014 wurde eine Sicherheitslücke behoben, die auf alle Apple- Geräte mit iOS 6/7 und Mac OS X 10.9 abzielte und es denen, die die Mittel hatten, sie auszunutzen, ermöglichte, die HTTPS-Verschlüsselung (oder insbesondere die TLS / SSL- Technologien ) zu korrumpieren die Firma. Einige Gerüchte deuten darauf hin, dass diese Schwachstelle von der NSA ausgenutzt wurde oder dass es sogar die Regierungsorganisation war, die Apple um Hilfe gebeten hat, um diese Schwachstelle zu erstellen (was das Unternehmen bestreitet).
HTTP Strict Transport Security (HSTS) ist ein vorgeschlagener Sicherheitsrichtlinienmechanismus , mit dem ein Webserver einem kompatiblen Benutzeragenten (z. B. einem Webbrowser ) erklären kann, dass er über eine sichere Verbindung (z. B. HTTPS) mit ihm interagieren soll. Die Richtlinie wird daher vom Server über die HTTP-Antwort im Header-Feld mit dem Namen „ Strict-Transport-Security “ an den User-Agent übermittelt . Die Richtlinie gibt einen Zeitraum an, in dem der Benutzeragent nur auf sichere Weise auf den Server zugreifen darf.
HTTPS erlaubt es einem Zwischenserver nicht, über einen Cache-Speicher zu verfügen, der Informationen speichert, da es verschlüsselt ist. Daher kann der Browser die Informationen nicht anzeigen, ohne sie direkt vom Server anzufordern.