Пятница, 29.11.2024, 00:38
Приветствую Вас, Гость
Главная » 2015 » Сентябрь » 10 » HTTPS
22:11
HTTPS
HTTPS (HyperText Transfer Protocol Secure) — розширення протоколу HTTP, що підтримує шифрування. Дані, що передаються по протоколу HTTPS, «упаковуються» криптографічний протокол SSL або TLS. На відміну від HTTP, для HTTPS за замовчуванням використовується TCP-порт 443.

Протокол був розроблений компанією Netscape Communications для браузера Netscape Navigator в 1994 році[1]. HTTPS широко використовується в світі веб і підтримується всіма популярними браузерами.

HTTPS не є окремим протоколом. Це звичайний HTTP, що працює через шифровані транспортні механізми SSL і TLS. Він забезпечує захист від атак, заснованих на прослуховуванні мережевого з'єднання — від снифферских атак і атак типу " man-in-the-middle, за умови, що будуть використовуватися шифрувальні засоби та сертифікат сервера перевірений і йому довіряють.

За замовчуванням HTTPS URL використовує 443 TCP-порт (для незахищеного HTTP — 80). Щоб підготувати веб-сервер для обробки https-з'єднань, адміністратор повинен отримати і встановити в систему сертифікат для цього веб-сервера. Сертифікат складається з 2 частин (2 ключі) — public і private. Public-частина сертифіката використовується для шифрування трафіку від клієнта до сервера в захищеному з'єднанні, private-частина — для розшифрування отриманого від клієнта зашифрованого трафіку на сервері. Після того, як пара ключів приватний/публічний згенеровані, на основі публічного ключа формується запит на сертифікат Центру сертифікації, у відповідь на який ЦС надсилає підписаний сертифікат. ЦС при підписанні перевіряє клієнта, що дозволяє йому гарантувати, що власник сертифіката є тим, за кого себе видає (зазвичай це платна послуга).

Існує можливість створити такий сертифікат, не звертаючись до ЦС. Такі сертифікати можуть бути створені для серверів, що працюють під Unix, з допомогою таких утиліт, як ssl-ca від OpenSSL або gensslcert від SuSE. Підписуються такі сертифікати цим сертифікатом і називаються самоподписанными (self-signed). Без перевірки сертифіката якимось іншим способом (наприклад, дзвінок власнику і перевірка контрольної суми сертифіката) таке використання HTTPS піддається атаці man-in-the-middle.

Ця система також може використовуватися для аутентифікації клієнта, щоб забезпечити доступ до сервера тільки авторизованим користувачам. Для цього адміністратор зазвичай створює сертифікати для кожного користувача і завантажує їх в браузер кожного користувача. Також будуть прийматися всі сертифікати, підписані організаціями, яким довіряє сервер. Такий сертифікат зазвичай містить ім'я, адресу електронної пошти авторизованого користувача, які перевіряються при кожному з'єднанні, щоб перевірити особу без введення пароля.

У HTTPS для шифрування використовується довжина ключа 40, 56, 128 або 256 біт. Деякі старі версії браузерів використовують довжину ключа 40 біт (приклад тому — IE версій до 4.0), що пов'язано з експортними обмеженнями в США. Довжина ключа 40 біт не є скільки-небудь надійної. Багато сучасні сайти вимагають використання нових версій браузерів, що підтримують шифрування з довжиною ключа 128 біт, з метою забезпечити достатній рівень безпеки. Таке шифрування значно ускладнює зловмиснику пошук паролів та іншої особистої інформації.
Просмотров: 563 | Добавил: Admin | Теги: HTTPS | Рейтинг: 0.0/0
Всего комментариев: 0
avatar